S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 08 juin 2001
N° CERTA-2001-AVI-061
Affaire suivie par: CERT-FR
le 08 juin 2001

Avis du CERT-FR

Objet: Vulnérabilité de Qpopper

Gestion du document

Référence CERTA-2001-AVI-061
Titre Vulnérabilité de Qpopper
Date de la première version 08 juin 2001
Date de la dernière version 08 juin 2001
Source(s) Avis de mise à jour de Qpopper par Qualcomm
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service ;
  • exécution de code à distance sans compte utilisateur.

Systèmes affectés

Tous les Unix avec Qpopper dont la version est inférieure ou égale à 4.02.

Résumé

Un utilisateur mal intentionné peut effectuer un déni de service du serveur POP3, voire exécuter du code à distance même sans compte sur le serveur.

Description

Qpopper est un serveur POP3 (Post Office Protocol) développé par Qualcomm pour Unix.

Un débordement de mémoire de ce logiciel permet à un utilisateur mal intentionné d'arrêter à distance le service. Comme dans le cas de la plupart des débordements de mémoire, il est possible d'utiliser cette faille pour exécuter du code sur la machine avec les privilèges du daemon Qpopper.

Contournement provisoire

Qpopper ne doit pas être lancé avec un compte ayant les privilèges de root.

Solution

Télécharger la nouvelle version de Qpopper :

ftp://ftp.qualcomm.com/eudora/servers/unix/popper

Documentation

La Release Notes de Qpopper :

ftp://ftp.qualcomm.com/eudora/servers/unix/popper/Release.Notes

Gestion détaillée du document

    le 08 juin 2001
    version initiale.