Risques
- Déni de service
- Exécution de code arbitraire
Systèmes affectés
Toutes les versions de fetchmail antérieures à la version 6.1.0.
Résumé
Plusieurs vulnérabilités de type débordement de mémoire dans le paquetage fetchmail permettent à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire sur la machine cible.
Description
fetchmail est un outil permettant la récupération de messages électroniques sur un serveur distant et la transmission du message à un routeur de méls.
Plusieurs vulnérabilités dans le code de fetchmail gérant la gestion des en-têtes méls permettent à un utilisateur mal intentionné de réaliser un deni de service ou d'exécuter du code arbitraire sur la machine cible, avec les droits de l'utilisateur lançant fetchmail (éventuellement l'utilisateur root selon les configurations).
Solution
Installer le paquetage fetchmail version 6.1.0 ou supérieure.
Documentation
- Avis de sécurité RedHat Linux RHSA-2002:215-09 http://rhn.redhat.com/errata/RHSA-2002-215.html
- Avis de sécurité de Debian GNU/Linux DSA 171-1 http://www.debian.org/security/2002/dsa-171
- Avis de sécurité de Mandrake Linux MDKS-2002-063 http://www.mandrakesecure.net/en/advisories/2002/MDKSA-2002-063.php
- Avis de sécurité de Sun 47784 http://sunsolve.sun.com
