Apache James Spooler内存泄漏拒绝服务漏洞

漏洞信息详情

Apache James Spooler内存泄漏拒绝服务漏洞

• CNNVD编号：CNNVD-200412-324
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2004-2650
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2004-12-31
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2006-01-19
  
• 厂        商：
  
  apache
• 漏洞来源：
  Noel J. Bergman

Apache James是一款易用的开源Java邮件服务器。
Apache James的spooler中出现了错误情况的话就可能导致内存泄漏：
if (lock(s)) {
MailImpl mail = null;
try {
mail = retrieve(s);
} catch (javax.mail.MessagingException e) {
…
}
if (mail == null) {
continue;
}
如果检索返回为空或出现错误，就会保持锁定，泄漏内存。此外：
if (filter.accept (mail.getName()，
mail.getState()，
mail.getLastUpdated().getTime()，
mail.getErrorMessage())) {
return mail;
}
如果没有接受filter，就会泄漏锁定信息，该特定线程的消息会一直锁定。

厂商补丁：
Apache Group
————
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://httpd.apache.org/” target=”_blank”>
http://httpd.apache.org/

来源: BID
名称: 15765
链接:http://www.securityfocus.com/bid/15765

来源: james.apache.org
链接:http://james.apache.org/changelog.html

来源: issues.apache.org
链接:http://issues.apache.org/jira/browse/JAMES-268

来源：NSFOCUS
名称：8315
链接：http://www.nsfocus.net/vulndb/8315