CVE-2021-3181 - rfc822.c in Mutt through 2.0.4 allows remote attackers to cause a denial of service (mailbox unavail

CVE-2021-3181

Summary

rfc822.c in Mutt through 2.0.4 allows remote attackers to cause a denial of service (mailbox unavailability) by sending email messages with sequences of semicolon characters in RFC822 address fields (aka terminators of empty groups). A small email message from the attacker can cause large memory consumption, and the victim may then be unable to see email messages from other persons.

References

Vulnerable Configurations

cpe:2.3:a:mutt:mutt:1.5:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.1:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.1:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.2:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.2:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.3:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.3:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.4:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.4:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.5:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.5:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.6:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.6:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.7:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.7:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.8:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.8:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.9:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.9:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.10:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.10:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.11:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.11:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.12:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.12:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.13:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.13:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.14:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.14:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.15:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.15:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.16:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.16:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.17:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.17:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.18:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.18:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.19:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.19:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.20:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.20:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.20-7:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.20-7:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.21:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.21:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.22:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.5.22:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.10.1:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.10.1:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.11.0:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.11.0:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.11.1:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.11.1:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.11.2:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.11.2:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.11.3:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.11.3:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.11.4:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.11.4:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.12.0:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.12.0:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.12.1:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.12.1:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.12.2:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.12.2:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.13.0:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.13.0:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.13.1:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.13.1:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.13.2:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.13.2:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.13.3:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.13.3:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.13.4:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.13.4:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.13.5:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.13.5:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.14.0:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.14.0:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.14.1:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.14.1:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.14.2:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.14.2:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.14.3:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.14.3:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.14.4:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.14.4:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.14.5:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.14.5:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.14.6:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.14.6:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.14.7:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:1.14.7:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:2.0.0:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:2.0.0:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:2.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:2.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:2.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:2.0.2:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:2.0.3:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:2.0.3:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:2.0.4:*:*:*:*:*:*:*
cpe:2.3:a:mutt:mutt:2.0.4:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:*

CVSS

Base:	4.3 (as of 12-07-2022 - 17:42)
Impact:
Exploitability:

CWE

CWE-401

CAPEC

Access

Vector	Complexity	Authentication
NETWORK	MEDIUM	NONE

Impact

Confidentiality	Integrity	Availability
NONE	NONE	PARTIAL

cvss-vector via4

AV:N/AC:M/Au:N/C:N/I:N/A:P

refmap via4

misc	https://gitlab.com/muttmua/mutt/-/commit/4a2becbdb4422aaffe3ce314991b9d670b7adf17 https://gitlab.com/muttmua/mutt/-/commit/939b02b33ae29bc0d642570c1dcfd4b339037d19 https://gitlab.com/muttmua/mutt/-/commit/d4305208955c5cdd9fe96dfa61e7c1e14e176a14 https://gitlab.com/muttmua/mutt/-/issues/323
mlist	[debian-lts-announce] 20210120 [SECURITY] [DLA 2529-1] mutt security update [oss-security] 20210119 Re: mutt recipient parsing memory leak

Last major update

12-07-2022 - 17:42

Published

19-01-2021 - 15:15

Last modified

12-07-2022 - 17:42