Oracle Linux 3/4：fetchmail（ELSA-2007-0018）

high Nessus プラグイン ID 67440

Language:

概要

リモート Oracle Linux ホストにセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2007:0018 から：

2 つのセキュリティの問題を修正する更新済みの fetchmail パッケージが、現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新は重要度中のセキュリティ影響があると評価しています。

Fetchmail は、メールの取得と転送をリモートで行うユーティリティです。

Fetchmail がマルチドロップモードで実行されたとき、サービス拒否の欠陥が見つかりました。悪意のあるメールサーバーが Fetchmail をクラッシュさせるようなヘッダーのないメッセージを送信する可能性があります（CVE-2005-4348）。この問題は、Red Hat Enterprise Linux 2.1 または 3 で出荷されたバージョンの Fetchmail には影響しません。

Fetchmail がリモートホストに接続するために TLS 暗号化を使用する方法に欠陥が見つかりました。Fetchmail は TLS 暗号化の使用を強制する方法は提供せず、POP3 プロトコル接続を適切に認証しません（CVE-2006-5867）。この更新は、「sslproto」構成ディレクティブが「tls1」に設定されているときに TLS 暗号化を強制することにより、この問題を修正します。

Fetchmail のユーザーは、バックポートされたパッチが含まれるこれらのパッケージへ更新し、これらの問題を修正する必要があります。

注：この更新は、「sslproto」ディレクティブが「tls1」に設定されても TLS 暗号が POP3 サーバーによりサポートされていない場合に Fetchmail が平文認証を使用することを前提としている構成を打ち砕く可能性があります。この挙動に依存するカスタム構成を使用している場合は、この更新のインストール後に構成を適切に修正する必要があります。