procmail堆缓冲区溢出漏洞

admin

0
文章

0
评论

2023-12-02 09:54:33 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 procmail堆缓冲区溢出漏洞

CVE编号

CVE-2017-16844

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-11-17

漏洞描述

Promail 3.22中Forail中formisc.c中的loadbuf函数中基于堆的缓冲区溢出允许远程攻击者通过精心编制的电子邮件消息导致拒绝服务(应用程序崩溃)或可能执行任意代码，原因是hardcoded realloc size，这与CVE-2014-3618不同。 

解决建议

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：http://www.procmail.org/

参考链接
http://www.securitytracker.com/id/1039844
https://access.redhat.com/errata/RHSA-2017:3269
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=876511
https://lists.debian.org/debian-lts-announce/2017/11/msg00019.html
https://www.debian.org/security/2017/dsa-4041

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	procmail	procmail	3.22	-
	运行在以下环境
	系统	amazon_AMI	procmail	*		Up to (excluding) 3.22-25.1.7.amzn1
	运行在以下环境
	系统	centos_7	procmail	*		Up to (excluding) 3.22-36.el7_4.1
	运行在以下环境
	系统	debian_10	procmail	*		Up to (excluding) 3.22-26
	运行在以下环境
	系统	debian_11	procmail	*		Up to (excluding) 3.22-26
	运行在以下环境
	系统	debian_12	procmail	*		Up to (excluding) 3.22-26
	运行在以下环境
	系统	debian_7	procmail	*		Up to (excluding) 3.22-20+deb7u2
	运行在以下环境
	系统	debian_8	procmail	*		Up to (excluding) 3.22-24+deb8u1
	运行在以下环境
	系统	debian_9	procmail	*		Up to (excluding) 3.22-25+deb9u1
	运行在以下环境
	系统	debian_sid	procmail	*		Up to (excluding) 3.22-26
	运行在以下环境
	系统	oracle_7	oraclelinux-release	*		Up to (excluding) 3.22-36.el7_4.1
	运行在以下环境
	系统	redhat_7	procmail	*		Up to (excluding) 3.22-36.el7_4.1
	运行在以下环境
	系统	suse_11_SP4	procmail	*		Up to (excluding) 3.22-240.8.3.1
	运行在以下环境
	系统	suse_12	procmail	*		Up to (excluding) 3.22-269.3
	运行在以下环境
	系统	suse_12_SP2	procmail	*		Up to (excluding) 3.22-269.3.5
	运行在以下环境
	系统	suse_12_SP3	procmail	*		Up to (excluding) 3.22-269.3.5
	运行在以下环境
	系统	ubuntu_14.04	procmail	*		Up to (excluding) 3.22-21ubuntu0.2
	运行在以下环境
	系统	ubuntu_14.04.6_lts	procmail	*		Up to (excluding) 3.22-21ubuntu0.2
	运行在以下环境
	系统	ubuntu_16.04	procmail	*		Up to (excluding) 3.22-25ubuntu0.16.04.1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	procmail	*		Up to (excluding) 3.22-25ubuntu0.16.04.1