Sylpheed-Claws POP3远程格式串处理漏洞处理方法
Sylpheed-Claws POP3远程格式串处理漏洞处理方法
Sylpheed不错的邮件客户端,也有漏洞,请看下文。
受影响系统:
Sylpheed Sylpheed 2.4.4
Sylpheed Sylpheed-Claws 2.10.0
Sylpheed Sylpheed-Claws 1.9.100
描述:
BUGTRAQ ID: 25430
CVE(CAN) ID: CVE-2007-2958
Sylpheed和Sylpheed-Claws都是轻型的邮件客户端。
Sylpheed和Sylpheed-Claws在处理用户请求存在格式串处理漏洞,远程攻击者可能利用此漏洞控制客户端。
Sylpheed和Sylpheed-Claws邮件客户端的src/inc.c文件中的inc_put_error()函数在显示POP3服务器的错误响应时存在格式串漏洞处理,如果用户受骗连接到了恶意的POP3服务器并接收到包含有格式标识符的回复的话,就可能触发这个漏洞,导致执行任意指令。
<*来源:Ulf Harnhammar (ulfh@update.uu.se)
链接:http://secunia.com/secunia_research/2007-70/advisory/
http://security.gentoo.org/glsa/glsa-200710-29.xml
*>
建议:
厂商补丁:
Gentoo
------
Gentoo发布了一个安全公告(GLSA-200710-29)以及相应补丁:
GLSA-200710-29:Sylpheed, Claws Mail: User-assisted remote execution of
链接:http://security.gentoo.org/glsa/glsa-200710-29.xml
所有Sylpheed用户都应升级到最新版本:
# emerge --sync
# emerge --ask --oneshot --verbose ">=mail-client/sylpheed-2.4.5"
所有Claws Mail用户都应升级到最新版本:
# emerge --sync
# emerge --ask --oneshot --verbose ">=mail-client/claws-mail-3.0.0"
Sylpheed
--------
厂商发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://sylpheed.sraoss.jp/en/
希望大家看了这篇文章,赶快去修补漏洞去吧!
评论暂时关闭