漏洞信息详情
Sylpheed和Sylpheed-Claws POP3远程格式串处理漏洞
- CNNVD编号:CNNVD-200708-426
- 危害等级: 中危
- CVE编号: CVE-2007-2958
- 漏洞类型: 格式化字符串
- 发布时间: 2007-08-27
- 威胁类型: 远程
- 更新时间: 2007-08-27
- 厂 商: sylpheed-claws
- 漏洞来源: Ulf Harnhammar※ ul...
漏洞简介
Sylpheed和Sylpheed-Claws都是轻型的邮件客户端。
Sylpheed和Sylpheed-Claws在处理用户请求存在格式串处理漏洞,远程攻击者可能利用此漏洞控制客户端。
Sylpheed和Sylpheed-Claws邮件客户端的src/inc.c文件中的inc_put_error()函数在显示POP3服务器的错误响应时存在格式串漏洞处理,如果用户受骗连接到了恶意的POP3服务器并接收到包含有格式标识符的回复的话,就可能触发这个漏洞,导致执行任意指令。
漏洞公告
Gentoo已经为此发布了一个安全公告(GLSA-200710-29)以及相应补丁:
GLSA-200710-29:Sylpheed, Claws Mail: User-assisted remote execution of
链接:
http://security.gentoo.org/glsa/glsa-200710-29.xml
所有Sylpheed用户都应升级到最新版本:
# emerge --sync
# emerge --ask --oneshot --verbose ">=mail-client/sylpheed-2.4.5"
所有Claws Mail用户都应升级到最新版本:
# emerge --sync
# emerge --ask --oneshot --verbose ">=mail-client/claws-mail-3.0.0"
Sylpheed
--------
http://sylpheed.sraoss.jp/en/
参考网址
来源: MISC
链接:http://secunia.com/secunia_research/2007-70/advisory/
来源: SECUNIA
名称: 26550
链接:http://secunia.com/advisories/26550
来源: OSVDB
名称: 40184
链接:http://osvdb.org/40184
来源: FEDORA
名称: FEDORA-2007-2009
链接:https://www.redhat.com/archives/fedora-package-announce/2007-September/msg00077.HTML
来源: MISC
链接:https://bugzilla.redhat.com/show_bug.cgi?id=254121
来源: XF
名称: sylpheed-incputerror-format-string(36238)
链接:http://xforce.iss.net/xforce/xfdb/36238
来源: BID
名称: 25430
链接:http://www.securityfocus.com/bid/25430
来源: SUSE
名称: SUSE-SR:2007:020
链接:http://www.novell.com/linux/security/advisories/2007_20_sr.HTML
来源: VUPEN
名称: ADV-2007-2971
链接:http://www.frsirt.com/english/advisories/2007/2971
来源: GENTOO
名称: GLSA-200710-29
链接:http://security.gentoo.org/glsa/glsa-200710-29.xml
来源: SECUNIA
名称: 27379
链接:http://secunia.com/advisories/27379
来源: SECUNIA
名称: 27229
链接:http://secunia.com/advisories/27229
来源: SECUNIA
名称: 26610
链接:http://secunia.com/advisories/26610
来源: bugs.gentoo.org
链接:http://bugs.gentoo.org/show_bug.cgi?id=190104
受影响实体
- Sylpheed-Claws Sylpheed-Claws:1.9.100
- Sylpheed-Claws Sylpheed-Claws:2.10.0
补丁
暂无
评论