S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 29 mai 2002
N° CERTA-2002-AVI-112
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans fetchmail

Gestion du document

Référence CERTA-2002-AVI-112
Titre Vulnérabilité dans fetchmail
Date de la première version29 mai 2002
Date de la dernière version29 mai 2002
Source(s) Avis de sécurité RHSA-2002:047 de RedHat
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

Toutes les versions de fetchmail antérieures à 5.9.10.

Résumé

Un débordement de mémoire dans la commande fetchmail permet à un utilisateur mal intentionné de provoquer l'exécution de code arbitraire avec les privilèges de l'utilisateur qui se sert de cette commande.

Description

Fetchmail est un utilitaire permettant de récupérer ses méls depuis un serveur de méls distant via divers protocoles (POP, IMAP...). Lors de la récupération des méls depuis un serveur IMAP, fetchmail alloue une zone mémoire afin de stocker la taille des messages. La taille de cette zone mémoire dépend du nombre de méls à récupérer sur le serveur.

En annonçant un nombre de méls incorrect, un serveur malicieux peut provoquer un débordement de mémoire dans la commande fetchmail, pouvant entraîner l'exécution de code arbitraire avec les privilèges de l'utilisateur qui se sert de cette commande.

Solution

La version 5.9.10 corrige cette vulnérabilité. Cette version est disponible sur le site :

http://www.tuxedo.org/~esr/fetchmail

Documentation

Gestion détaillée du document

    le 29 mai 2002
    version initiale.