【漏洞通告】Apache James拒绝服务漏洞(CVE-2024-37358)

主要观点总结

本文介绍了Apache James的拒绝服务漏洞CVE-2024-37358的漏洞概述、影响范围及安全措施。

关键观点总结

关键观点1: 漏洞概述

Apache James存在一个拒绝服务漏洞，攻击者可利用IMAP字面量触发无限制的内存分配和长时间计算，导致拒绝服务。该漏洞影响Apache James的版本包括Server ≤ 3.7.5和3.8.0 ≤ Apache James Server ≤ 3.8.1。

关键观点2: 漏洞等级和评分

该漏洞的等级为高危，评分达到了8.6。

关键观点3: 漏洞影响范围

该漏洞影响Apache James Server的特定版本，可能影响正常的邮件处理业务。

关键观点4: 安全措施

官方已经在3.7.6和3.8.2版本修复了这个漏洞。同时提供了一些通用建议，如定期更新系统补丁、加强系统和网络的访问控制等。

文章预览

一、漏洞概述 漏洞名称 Apache James拒绝服务漏洞 CVE   ID CVE-2024-37358 漏洞类型 拒绝服务 发现时间 2025-02-07 漏洞评分 8.6 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 Apache James（Java Apache Mail Enterprise Server）是一个开源的邮件服务器，支持SMTP、IMAP 和 POP3 协议。它基于Java开发，可扩展并支持模块化架构，适用于企业级邮件处理。James 具备邮件存储、用户管理、邮件过滤等功能，并可集成LDAP、数据库等外部系统，适用于构建自定义邮件解决方案。 2025年2月7日，启明星辰集团VSRC监测到Apache官方发布了CVE-2024-37358漏洞公告。该漏洞影响Apache James，攻击者可滥用IMAP字面量（IMAP literals）触发无限制的内存分配和长时间计算，从而导致拒绝服务（DoS）。该漏洞可被认证用户和未认证用户利用，可能导致服务 ………………………………