发布日期：2004-09-19
更新日期：2004-09-22

受影响系统：

Charles Cazabon getmail 4.1.5
Charles Cazabon getmail 4.1.4
Charles Cazabon getmail 4.1.3
Charles Cazabon getmail 4.1.2
Charles Cazabon getmail 4.1.1
Charles Cazabon getmail 3.2.4

不受影响系统：

Charles Cazabon getmail 4.2.0
Charles Cazabon getmail 3.2.5

描述：

---

BUGTRAQ  ID: 11224
CVE(CAN) ID: CVE-2004-0880,CVE-2004-0881

getmail是一款Linux系统下的邮件收发程序。

getmail的Mbox和Maildir方式递送存在竞争条件问题，本地攻击者可以利用这个漏洞破坏系统文件，造成拒绝服务攻击。

以Mbox delivery形式递送邮件方式，攻击者可以使用符号链接代替一个mbox文件，成功利用竞争条件攻击允许符号链接所指向的文件被破坏，造成一定程度的拒绝服务。

以Mbox delivery形式递送邮件方式，攻击者可以使用符号连接代替maildir的子目录，成功利用竞争条件攻击允许符号链接所指向的文件被破坏，造成一定程度的拒绝服务。

<*来源：David Watson （baikie@ehwhat.freeserve.co.uk）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=109571883130372&w=2
*>

建议：

---

厂商补丁：

Charles Cazabon
---------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载Getmail 3.2.5和4.2.0：

http://www.qcc.ca/~charlesc/software/getmail-4/

浏览次数：2489
严重程度：0（网友投票）