阿里云漏洞库

漏洞描述

libspf2是一个库，它允许电子邮件系统（例如 Sendmail、Postfix、Exim、Zmailer 和 MS Exchange）检查SPF 记录并确保电子邮件得到了来自它的域名的授权。这可以防止垃圾邮件发送者、诈骗者和电子邮件病毒/蠕虫常用的电子邮件伪造。

libspf2的SPF 存在安全漏洞，该漏洞源于libspf2的SPF宏可触发缓冲区溢出。攻击者可利用该漏洞造成拒绝服务，并可能运行代码。

解决建议

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://vigilance.fr/vulnerability/libspf2-buffer-overflow-via-SPF-Macros-36117

参考链接
https://bugzilla.redhat.com/show_bug.cgi?id=1993070
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://security.gentoo.org/glsa/202401-22
https://vigilance.fr/vulnerability/libspf2-buffer-overflow-via-SPF-Macros-36117

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	libspf2	libspf2	*		Up to (excluding) 1.2.11
	运行在以下环境
	系统	alpine_3.11	libspf2	*		Up to (excluding) 1.2.10-r5
	运行在以下环境
	系统	alpine_3.12	libspf2	*		Up to (excluding) 1.2.10-r5
	运行在以下环境
	系统	alpine_3.13	libspf2	*		Up to (excluding) 1.2.10-r5
	运行在以下环境
	系统	alpine_3.14	libspf2	*		Up to (excluding) 1.2.10-r5
	运行在以下环境
	系统	alpine_3.15	libspf2	*		Up to (excluding) 1.2.10-r5
	运行在以下环境
	系统	alpine_3.16	libspf2	*		Up to (excluding) 1.2.10-r5
	运行在以下环境
	系统	alpine_3.17	libspf2	*		Up to (excluding) 1.2.10-r5
	运行在以下环境
	系统	alpine_3.18	libspf2	*		Up to (excluding) 1.2.10-r5
	运行在以下环境
	系统	alpine_3.19	libspf2	*		Up to (excluding) 1.2.10-r5
	运行在以下环境
	系统	debian_10	libspf2	*		Up to (excluding) 1.2.10-7.1~deb10u1
	运行在以下环境
	系统	debian_11	libspf2	*		Up to (excluding) 1.2.10-7.1~deb11u1
	运行在以下环境
	系统	debian_12	libspf2	*		Up to (excluding) 1.2.10-7.1
	运行在以下环境
	系统	debian_9	libspf2	*		Up to (excluding) 1.2.10-7+deb9u1
	运行在以下环境
	系统	fedora_33	libspf2	*		Up to (excluding) 1.2.11-1.20210922git4915c308.fc33
	运行在以下环境
	系统	fedora_34	libspf2	*		Up to (excluding) 1.2.11-1.20210922git4915c308.fc34
	运行在以下环境
	系统	fedora_35	libspf2	*		Up to (excluding) 1.2.11-1.20210922git4915c308.fc35
	运行在以下环境
	系统	fedora_EPEL_7	libspf2	*		Up to (excluding) 1.2.11-1.20210922git4915c308.el7
	运行在以下环境
	系统	fedora_EPEL_8	libspf2	*		Up to (excluding) 1.2.11-1.20210922git4915c308.el8
	运行在以下环境
	系统	opensuse_Leap_15.2	libspf2	*		Up to (excluding) 1.2.10-bp153.5.1
	运行在以下环境
	系统	opensuse_Leap_15.3	libspf2	*		Up to (excluding) 1.2.10-bp153.5.1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

全局影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

N/A
全网数量

N/A

CWE-ID	漏洞类型
CWE-787	跨界内存写

中危 libspf2SPF 安全漏洞

漏洞描述

解决建议

参考链接

受影响软件情况