漏洞信息详情
Notmuch Emacs 输入验证漏洞
- CNNVD编号:CNNVD-201205-468
- 危害等级: 中危
- CVE编号: CVE-2012-1103
- 漏洞类型: 输入验证
- 发布时间: 2012-02-24
- 威胁类型: 远程
- 更新时间: 2012-09-27
- 厂 商: notmuchmail
- 漏洞来源:
漏洞简介
Notmuch 0.11.1之前版本中的emacs/notmuch-mua.el中存在漏洞。由于所使用的Emacs接口没有正确地引用邮件回复CNA中的MML标签,任意文件都可以在错误的引用下成为所发送邮件的附件。通过诱使用户回复带有特制MML标签的邮件,远程攻击者可成功利用该漏洞读取任意文件。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://notmuchmail.org/news/release-0.11.1/
参考网址
来源: BID
名称: 52155
链接:http://www.securityfocus.com/bid/52155
来源: MLIST
名称: [oss-security] 20120304 Re: CVE request: notmuch
链接:http://www.openwall.com/lists/oss-security/2012/03/05/6
来源: MLIST
名称: [oss-security] 20120304 CVE request: notmuch
链接:http://www.openwall.com/lists/oss-security/2012/03/04/5
来源: DEBIAN
名称: DSA-2416
链接:http://www.debian.org/security/2012/dsa-2416
来源: SECUNIA
名称: 48139
链接:http://secunia.com/advisories/48139
来源: notmuchmail.org
链接:http://notmuchmail.org/news/release-0.11.1/
来源: git.notmuchmail.org
链接:http://git.notmuchmail.org/git/notmuch/blobdiff/3f2050ac221a4c940c12442f156f12fff11600c6..ae438ccd8c77831158c7c30f19710d798ee4a6b4:/emacs/notmuch-mua.el
受影响实体
- Notmuchmail Notmuch:0.11
- Notmuchmail Notmuch:0.1.1
- Notmuchmail Notmuch:0.1
- Notmuchmail Notmuch:0.2
- Notmuchmail Notmuch:0.3
补丁
- notmuch-0.11.1-1.fc17.i686
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论