S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 29 mai 2002
N° CERTA-2002-AVI-112
Affaire suivie par: CERT-FR
le 29 mai 2002

Avis du CERT-FR

Objet: Vulnérabilité dans fetchmail

Gestion du document

Référence CERTA-2002-AVI-112
Titre Vulnérabilité dans fetchmail
Date de la première version 29 mai 2002
Date de la dernière version 29 mai 2002
Source(s) Avis de sécurité RHSA-2002:047 de RedHat
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Toutes les versions de fetchmail antérieures à 5.9.10.

Résumé

Un débordement de mémoire dans la commande fetchmail permet à un utilisateur mal intentionné de provoquer l'exécution de code arbitraire avec les privilèges de l'utilisateur qui se sert de cette commande.

Description

Fetchmail est un utilitaire permettant de récupérer ses méls depuis un serveur de méls distant via divers protocoles (POP, IMAP...). Lors de la récupération des méls depuis un serveur IMAP, fetchmail alloue une zone mémoire afin de stocker la taille des messages. La taille de cette zone mémoire dépend du nombre de méls à récupérer sur le serveur.

En annonçant un nombre de méls incorrect, un serveur malicieux peut provoquer un débordement de mémoire dans la commande fetchmail, pouvant entraîner l'exécution de code arbitraire avec les privilèges de l'utilisateur qui se sert de cette commande.

Solution

La version 5.9.10 corrige cette vulnérabilité. Cette version est disponible sur le site : 

http://www.tuxedo.org/~esr/fetchmail

Documentation

Gestion détaillée du document

    le 29 mai 2002
    version initiale.