Vulnérabilité de fetchmail

Gestion du document

Référence	CERTA-2002-AVI-229-001
Titre	Vulnérabilité de fetchmail
Date de la première version	15 octobre 2002
Date de la dernière version	31 octobre 2002
Source(s)	-
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Déni de service ;
exécution de code arbitraire.

Systèmes affectés

Toutes les versions de fetchmail antérieures à la version 6.1.0.

Résumé

Plusieurs vulnérabilités de type débordement de mémoire dans le paquetage fetchmail permettent à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire sur la machine cible.

Description

fetchmail est un outil permettant la récupération de messages électroniques sur un serveur distant et la transmission du message à un routeur de méls.

Plusieurs vulnérabilités dans le code de fetchmail gérant la gestion des en-têtes méls permettent à un utilisateur mal intentionné de réaliser un deni de service ou d'exécuter du code arbitraire sur la machine cible, avec les droits de l'utilisateur lançant fetchmail (éventuellement l'utilisateur root selon les configurations).

Solution

Installer le paquetage fetchmail version 6.1.0 ou supérieure.

Documentation

Avis de sécurité RedHat Linux RHSA-2002:215-09

http://rhn.redhat.com/errata/RHSA-2002-215.html

Avis de sécurité de Debian GNU/Linux DSA 171-1
```
http://www.debian.org/security/2002/dsa-171
```

Avis de sécurité de Mandrake Linux MDKS-2002-063

http://www.mandrakesecure.net/en/advisories/2002/MDKSA-2002-063.php

Avis de sécurité de Sun 47784
```
http://sunsolve.sun.com
```

Gestion détaillée du document

le 15 octobre 2002: version initiale.

le 31 octobre 2002: ajout des vulérabilités Mandrake et Sun.

Avis du CERT-FR

Objet: Vulnérabilité de fetchmail