Risques
- Déni de service
- Exécution de code arbitraire à distance
Systèmes affectés
Toutes les versions de fetchmail antérieures ou égales à 6.1.3.
Résumé
Un débordement de mémoire dans fetchmail permet à un utilisateur mal intentionné de provoquer l'arrêt brutal ou l'exécution de code arbitraire avec les privilèges de l'utilisateur qui se sert de cette commande.
Description
Fetchmail est un utilitaire permettant de récupérer ses messages depuis un serveur de messagerie distant via divers protocoles (POP, IMAP...). La routine réalisant l'allocation mémoire pour le traitement des adresses locales ne réserve pas suffisamment de place en mémoire. L'exploitation de cette vulnérabilité permet à un utilisateur mal intentionné de provoquer l'arrêt brutal de fetchmail ou l'exécution de code arbitraire avec les privilèges de l'utilisateur qui se sert de cette commande.
Solution
La version 6.2.0 corrige cette vulnérabilité. Cette version est disponible sur le site :
http://www.tuxedo.org/ esr/fetchmail
Documentation
- "The fetchmail Home Page" : http://www.tuxedo.org/~esr/fetchmail
- Avis de sécurité "Fetchmail remote vulnerability" d'e-matters : http://security.e-matters.de/advisories/052002.html
- Avis de sécurité DSA-216 de Debian : http://www.debian.org/security/2002/dsa-216
- Avis de sécurité RHSA-2002:293 de RedHat : http://rhn.redhat.com/errata/RHSA-2002-293.html
- Avis de sécurité SuSE-SA:2003:001 de SuSE : http://www.suse.com/de/security/2003_001_fetchmail.html
- Bulletin de sécurité MDKSA-2003:011 de Mandrake : http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:011
