Risque
- Obtention du privilèges root à distance
Systèmes affectés
Toutes les versions de Fetchmail antérieures à 5.8.6.
Résumé
Un débordement de mémoire dans la commande Fetchmail permet à un utilisateur mal intentionné de provoquer l'exécution de code arbitraire avec les privilèges de l'utilisateur qui se sert de cette commande.
Description
Fetchmail est un utilitaire unix permettant de récupérer ses mels depuis un serveur via les protocoles POP, IMAP...
Un champ TO: trop long inséré dans un message permet à un utilisateur mal intentionné de réaliser un débordement de mémoire et éventuellement de provoquer l'exécution d'un code arbitraire.
Le code arbitraire sera exécuté avec les privilèges de l'utilisateur se servant de la commande fetchmail.
Solution
La version 5.8.6 de fetchmail corrige le problème de dépassement de mémoire.
Cette version est disponible sur le site:
http://www.tuxedo.org/~esr/fetchmail
Se référer aux sites des différents distributeurs pour les mises-à-jour.