POP3Lite 输入验证漏洞

漏洞信息详情

POP3Lite 输入验证漏洞

• CNNVD编号：CNNVD-200109-001
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2001-0996
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2001-09-02
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  pop3lite
• 漏洞来源：

CVE(CAN) ID： CAN-2001-0996

POP3Lite是Linux和BSD平台下的免费，开放源代码的POP3守护程序。

发现POP3Lite没有过滤信件中以\”.\”开始的行，这至少可能导致意外情况的发生，如

果我们精心构造这封信件的内容，就可能导致把任意伪造的系统相应信息发送给从该服

务器上下载邮件的用户。

远程攻击者利用这个漏洞，可能插入任意信息或导致信息丢失，也可能导致匿名Email

攻击或者是拒绝服务攻击，这取决于客户端如何解释这些而已的输入。

厂商补丁：

POP3Lite 0.2.4已经修正了这个问题，请立即到厂商的主页下载：

POP3Lite upgrade POP3Lite

ftp://pop3lite.sourceforge.net/pub/pop3lite/

Debian upgrade POP3Lite 0.4.2a-1 unstable

http://packages.debian.org/unstable/mail/pop3lite.html

来源: XF
名称: pop3lite-dot-message-injection(7075)
链接:http://xforce.iss.net/static/7075.php

来源: BID
名称: 3278
链接:http://www.securityfocus.com/bid/3278

来源: BUGTRAQ
名称: 20010902 POP3Lite 0.2.3b minor client side DoS and message injection
链接:http://archives.neohapsis.com/archives/bugtraq/2001-08/0436.html