Cyrus IMAP 3.4.2リリースノートの記述：

CVE-2021-33582：特定のユーザー入力が、処理中にハッシュテーブルキーとして使用されます。不適切に選択された文字列ハッシュアルゴリズムにより、ユーザーはデータを保存するバケットをコントロールできるため、悪意のあるユーザーが多くの入力を単一のバケットに向けることができました。その後同じバケットに挿入するたびに、他のすべてのエントリのstrcmpが必要になります。数万エントリで、新しい挿入のたびに、数分間、strcmpループでCPUのビジー状態が維持される可能性があります。文字列ハッシュアルゴリズムがより優れたものに置き換えられ、ハッシュテーブルごとにランダムシードを使用するようになったため、悪意のある入力を事前に計算できなくなりました。

検出

FreeBSD：cyrus-imapd -- ハッシュテーブルの相互作用の間に誤って処理された入力による、数分のデーモンハング（3d915d96-0b1f-11ec-8d9f-080027415d17）

high Nessus プラグイン ID 153073

バージョン 1.4