Apache James拒绝服务漏洞CVE-2024-37358

Apache James是属于Apache的一个开源项目，是Apache组织构建的一个可移植的、安全的、且100% 纯 Java 实现的企业级邮件服务器。

Apache James是Apache Software Foundation维护的开源邮件服务器软件，完全基于Java技术构建，可以在任何支持Java的平台上运行。

一、基本情况

Apache James（Java Apache Mail Enterprise Server）开源邮件服务器支持SMTP、IMAP 和 POP3 协议，可以扩展并支持模块化架构。

James具备邮件存储、用户管理、邮件过滤等功能，集成LDAP、数据库等外部系统，适用于构建自定义邮件解决方案和企业级邮件处理。

栋科技漏洞库关注到Apache官方披露关于Apache James Server中存在的漏洞公告，漏洞追踪为CVE-2024-37358，漏洞 CVSS 评分8.6。

二、漏洞分析

CVE-2024-37358漏洞Apache James特定版本，攻击者可以通过滥用IMAP字面量（IMAP literals）触发无限制的内存分配和长时间计算。

该漏洞可能被认证用户和未认证用户利用，可能会导致服务器资源耗尽，影响正常业务运行，从而导致拒绝服务（DoS），建议注意防范。

具体而言，该漏洞源于经过身份验证和未经身份验证的用户滥用IMAP文字，这可能导致无限的内存分配和非常长的计算时间的情况发生。

官方已在 3.7.6 和 3.8.2 版本中修复该漏洞，具体的做法是通过限制对 IMAP 字面量这种非法使用的不当使用，从而就可以降低漏洞风险。

三、影响范围

Apache James Server <= 3.7.5

3.8.0 ≤ Apache James Server <= 3.8.1

四、修复建议

Apache James Server >= 3.7.6

3.8.0 ≤ Apache James Server >= 3.8.2

五、参考链接

此处内容已隐藏，评论后刷新即可查看！