Risque

  • Obtention du privilèges root à distance

Systèmes affectés

Toutes les versions de Fetchmail antérieures à 5.8.6.

Résumé

Un débordement de mémoire dans la commande Fetchmail permet à un utilisateur mal intentionné de provoquer l'exécution de code arbitraire avec les privilèges de l'utilisateur qui se sert de cette commande.

Description

Fetchmail est un utilitaire unix permettant de récupérer ses mels depuis un serveur via les protocoles POP, IMAP...

Un champ TO: trop long inséré dans un message permet à un utilisateur mal intentionné de réaliser un débordement de mémoire et éventuellement de provoquer l'exécution d'un code arbitraire.

Le code arbitraire sera exécuté avec les privilèges de l'utilisateur se servant de la commande fetchmail.

Solution

La version 5.8.6 de fetchmail corrige le problème de dépassement de mémoire.

Cette version est disponible sur le site:

http://www.tuxedo.org/~esr/fetchmail

Se référer aux sites des différents distributeurs pour les mises-à-jour.