Qpopper多个不安全文件处理漏洞

发布日期：2005-05-25
更新日期：2005-05-31

受影响系统：

Qualcomm qpopper 4.0b14
Qualcomm qpopper 4.03
Qualcomm qpopper 4.02
Qualcomm qpopper 4.01
Qualcomm qpopper 4.0.4
Qualcomm qpopper 4.0.3
Qualcomm qpopper 4.0.2
Qualcomm qpopper 4.0.1
Qualcomm qpopper 4.0
Qualcomm qpopper 3.1
Qualcomm qpopper 3.0.2
Qualcomm qpopper 3.0.1b2
Qualcomm qpopper 3.0.1
Qualcomm qpopper 3.0
Qualcomm qpopper 2.53
Qualcomm qpopper 2.52
Qualcomm qpopper 2.4

不受影响系统：

Qualcomm qpopper 4.0.5

描述：

---

BUGTRAQ ID: 13714
CVE(CAN) ID: CVE-2005-1151,CVE-2005-1152

Qpopper是非常流行的UNIX和Linux POP3协议服务器，允许用户使用任何POP3客户端访问邮件。

Qpopper中存在多个不安全文件处理漏洞，本地攻击者可以利用这些漏洞以root用户权限覆盖任意文件，或创建新文件。

起因是在访问某些文件时没有正确的丢弃超级用户权限，Qpopper还没有正确的设置进程umask，这可能允许创建组可写或完全可写文件。



<*来源：Jens Steube

链接：http://security.gentoo.org/glsa/glsa-200505-17.xml
http://www.debian.org/security/2005/dsa-728
*>

建议：

---

厂商补丁：

Debian
------
Debian已经为此发布了一个安全公告（DSA-728-2）以及相应补丁:
DSA-728-2：New qpopper packages fix arbitrary file overwriting
链接：http://www.debian.org/security/2005/dsa-728

Qualcomm
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

ftp://ftp.qualcomm.com/eudora/servers/unix/popper/old/

Gentoo
------
Gentoo已经为此发布了一个安全公告（GLSA-200505-17）以及相应补丁:
GLSA-200505-17：Qpopper: Multiple Vulnerabilities
链接：http://security.gentoo.org/glsa/glsa-200505-17.xml

所有Qpopper用户都应升级到最新版本：

# emerge --sync
# emerge --ask --oneshot --verbose ">=net-mail/qpopper-4.0.5-r3"

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有