漏洞信息详情
Claws Mail 权限许可和访问控制漏洞
- CNNVD编号:CNNVD-201406-504
- 危害等级: 中危
- CVE编号: CVE-2014-2576
- 漏洞类型: 加密问题
- 发布时间: 2014-03-11
- 威胁类型: 远程
- 更新时间: 2014-10-16
- 厂 商: novell
- 漏洞来源: Marcus Meissner
漏洞简介
Claws Mail是Claws Mail团队的一套基于GTK+开发的电子邮件客户端和阅读器程序。
Claws Mail 3.10.0之前版本的plugins/rssyl/feed.c脚本中存在安全漏洞,该漏洞源于程序对CN或SAN主机名字段禁用了CURLOPT_SSL_VERIFYHOST检查。远程攻击者可利用该漏洞欺骗服务器,实施中间人攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.claws-mail.org/index.php?section=general
参考网址
来源:SUSE
链接:http://lists.opensuse.org/opensuse-updates/2014-10/msg00015.HTML
来源:MLIST
链接:http://sourceforge.net/p/claws-mail/news/2014/05/claws-mail-3100-unleashed/
来源:www.thewildbeast.co.uk
链接:http://www.thewildbeast.co.uk/claws-mail/bugzilla/show_bug.cgi?id=3106
来源:MLIST
链接:http://seclists.org/oss-sec/2014/q1/636
来源:SECUNIA
链接:http://secunia.com/advisories/57336
来源: BID
链接:http://www.securityfocus.com/bid/66466
受影响实体
- Novell Opensuse:13.1
- Novell Opensuse:12.3
- Claws-Mail Claws-Mail:3.9.3
补丁
- claws-mail-3.10.0
- claws-mail-3.10.0
- claws-mail-3.10.0
评论