GNU Mailutils <= 0.6 多个漏洞

high Nessus 插件 ID 18371

简介

远程邮件服务器受到多个问题的影响。

描述

GNU Mailutils 是一个邮件实用工具集合,包括一个 IMAP4 后台程序、一个 POP3 后台程序和一个非常简单的邮件客户端。

远程主机正在运行的 GNU Mailutils 版本的 IMAP4 后台程序及其邮件客户端“mail”中包含数个严重缺陷。通过利用这些问题,远程攻击者可在本地用户环境或执行后台程序进程的用户(通常为根用户)环境中造成 IMAP4 后台程序拒绝服务并远程执行代码。

此外,如果配置为与 MySQL 或 Postgres 配合使用,则该版本可能受到 SQL 注入缺陷的影响。当 mailutils 尝试对用户进行身份验证时,攻击者可利用此缺陷修改数据库查询,从而导致敏感信息泄露或数据修改。

解决方案

升级至 GNU Mailutils 0.6.90 或更高版本。

另见

http://www.nessus.org/u?9dcd6edb

https://seclists.org/bugtraq/2005/Jul/472

插件详情

严重性: High

ID: 18371

文件名: gnu_mailutils_060.nasl

版本: 1.27

类型: remote

发布时间: 2005/5/26

最近更新时间: 2022/4/11

配置: 启用全面检查

支持的传感器: Nessus

风险信息

VPR

风险因素: High

分数: 8.5

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

漏洞信息

CPE: cpe:/a:gnu:mailutils

必需的 KB 项: imap/login, imap/password, pop3/login, pop3/password

排除的 KB 项: global_settings/supplied_logins_only, imap/false_imap

可利用: true

易利用性: Exploits are available

补丁发布日期: 2005/5/27

漏洞发布日期: 2005/5/15

参考资料信息

CVE: CVE-2005-1520, CVE-2005-1521, CVE-2005-1522, CVE-2005-1523, CVE-2005-1824

BID: 13763, 13764, 13765, 13766, 13870