漏洞信息详情

Claws Mail 权限许可和访问控制漏洞

• CNNVD编号：CNNVD-201406-504
• 危害等级： 中危
  
• CVE编号： CVE-2014-2576
• 漏洞类型： 加密问题
• 发布时间： 2014-03-11
• 威胁类型： 远程
• 更新时间： 2014-10-16
• 厂        商： novell
• 漏洞来源： Marcus Meissner

漏洞简介

Claws Mail是Claws Mail团队的一套基于GTK+开发的电子邮件客户端和阅读器程序。

Claws Mail 3.10.0之前版本的plugins/rssyl/feed.c脚本中存在安全漏洞，该漏洞源于程序对CN或SAN主机名字段禁用了CURLOPT_SSL_VERIFYHOST检查。远程攻击者可利用该漏洞欺骗服务器，实施中间人攻击。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.claws-mail.org/index.php?section=general

参考网址

来源:SUSE

链接:http://lists.opensuse.org/opensuse-updates/2014-10/msg00015.HTML

来源:MLIST

链接:http://sourceforge.net/p/claws-mail/news/2014/05/claws-mail-3100-unleashed/

来源:www.thewildbeast.co.uk

链接:http://www.thewildbeast.co.uk/claws-mail/bugzilla/show_bug.cgi?id=3106

来源:MLIST

链接:http://seclists.org/oss-sec/2014/q1/636

来源:SECUNIA

链接:http://secunia.com/advisories/57336

来源: BID

链接:http://www.securityfocus.com/bid/66466

受影响实体

• Novell Opensuse:13.1  
• Novell Opensuse:12.3  
• Claws-Mail Claws-Mail:3.9.3  

补丁

• claws-mail-3.10.0
• claws-mail-3.10.0
• claws-mail-3.10.0