BUGTRAQ ID: 25430
CVE(CAN) ID: CVE-2007-2958
Sylpheed和Sylpheed-Claws都是轻型的邮件客户端。
Sylpheed和Sylpheed-Claws在处理用户请求存在格式串处理漏洞,远程攻击者可能利用此漏洞控制客户端。
Sylpheed和Sylpheed-Claws邮件客户端的src/inc.c文件中的inc_put_error()函数在显示POP3服务器的错误响应时存在格式串漏洞处理,如果用户受骗连接到了恶意的POP3服务器并接收到包含有格式标识符的回复的话,就可能触发这个漏洞,导致执行任意指令。
Sylpheed Sylpheed 2.4.4
Sylpheed Sylpheed-Claws 2.10.0
Sylpheed Sylpheed-Claws 1.9.100
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=“http://sylpheed.sraoss.jp/en/” target=“_blank”>http://sylpheed.sraoss.jp/en/</a>