【漏洞通告】Apache James拒絕服務漏洞(CVE-2024-37358)

發布時間 2025-02-07

一、漏洞概述


漏洞名稱

Apache James拒絕服務漏洞

CVE   ID

CVE-2024-37358

漏洞類型

拒絕服務

發現時間

2025-02-07

漏洞評分

8.6

漏洞等級

高危

攻擊向量

網絡

所需權限

利用難度

用戶交互

PoC/EXP

未公開

在野利用

未發現


Apache James(Java Apache Mail Enterprise Server)是一個開源的郵件服務器,支持SMTP、IMAP 和 POP3 協議。它基于Java開發,可擴展并支持模塊化架構,適用于企業級郵件處理。James 具備郵件存儲、用戶管理、郵件過濾等功能,并可集成LDAP、數據庫等外部系統,適用于構建自定義郵件解決方案。


2025年2月7日,啟明星辰集團VSRC監測到Apache官方發布了CVE-2024-37358漏洞公告。該漏洞影響Apache James,攻擊者可濫用IMAP字面量(IMAP literals)觸發無限制的內存分配和長時間計算,從而導致拒絕服務(DoS)。該漏洞可被認證用戶和未認證用戶利用,可能導致服務器資源耗盡,影響正常業務運行。


二、影響范圍


Apache James Server ≤ 3.7.5
3.8.0 ≤ Apache James Server ≤ 3.8.1


三、安全措施


3.1 升級版本


官方已在 3.7.6 和 3.8.2 版本中修復此問題,通過限制對 IMAP 字面量的不當使用,以降低漏洞風險。
下載鏈接:
https://james.apache.org/download.cgi#Apache_James_Server/


3.2 臨時措施


暫無。


3.3 通用建議


? 定期更新系統補丁,減少系統漏洞,提升服務器的安全性。
加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網絡安全性能。
加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。
啟用強密碼策略并設置為定期修改。


3.4 參考鏈接


https://lists.apache.org/thread/1pxsh11v5s3fkvhnqvkmlqwt3fgpcrqc
https://nvd.nist.gov/vuln/detail/CVE-2024-37358
https://github.com/apache/james-project/commit/6dd3ad9ea1f6a9bc887d2c7af3f5aa30a60ec769
https://github.com/apache/james-project/commit/b2f3c06edfd37b409121bf04c56a6f026048a77e