Risques

  • Déni de service
  • Exécution de code à distance sans compte utilisateur

Systèmes affectés

Tous les Unix avec Qpopper dont la version est inférieure ou égale à 4.02.

Résumé

Un utilisateur mal intentionné peut effectuer un déni de service du serveur POP3, voire exécuter du code à distance même sans compte sur le serveur.

Description

Qpopper est un serveur POP3 (Post Office Protocol) développé par Qualcomm pour Unix.

Un débordement de mémoire de ce logiciel permet à un utilisateur mal intentionné d'arrêter à distance le service. Comme dans le cas de la plupart des débordements de mémoire, il est possible d'utiliser cette faille pour exécuter du code sur la machine avec les privilèges du daemon Qpopper.

Contournement provisoire

Qpopper ne doit pas être lancé avec un compte ayant les privilèges de root.

Solution

Télécharger la nouvelle version de Qpopper :

ftp://ftp.qualcomm.com/eudora/servers/unix/popper

Documentation