Risques
- Déni de service
- Exécution de code arbitraire à distance via un serveur pop3 malicieux
Systèmes affectés
Fetchmail version 6.2.5.1 et versions antérieures.
Description
cette vulnérabilité et injecter du code arbitraire à distance permettant, entre autres, d'obtenir les droits administrateurs sur la machine vulnérable.
L'exploitation de cette faille à destination d'une machine disposant de Fetchmail 6.2.5.1 ne provoque qu'un déni de service.
Solution
Passer en version 6.2.5.2 et appliquer le patch fetchmail-patch-6.2.5.2 :
http://developer.berlios.de/project/showfiles.php?group_id=1824
Documentation
- Bulletin de sécurité Berlios http://fetchmail.berlios.de/fetchmail-SA-2005-01.txt
- Bulletin de sécurité Debian DSA-774 du 12 août 2005 : http://www.debian.org/security/2005/dsa-774
- Bulletin de sécurité Gentoo GLSA 200507-21 du 25 juillet 2005 : http://www.gentoo.org/security/en/glsa/glsa-200507-21.xml
- Bulletin de sécurité Mandriva MDKSA-2005:126 du 28 juillet 2005 : http://www.mandriva.com/security/advisories?name=MDKSA-2005:126
- Bulletin de sécurité OpenBSD pour fetchmail du 25 juillet 2005 : http://www.vuxml.org/openbsd/pkg-fetchmail.html
- Bulletin de sécurité RedHat RHSA-2005:640 du 25 juillet 2005 : http://rhn.redhat.com/errata/RHSA-2005-640.html
- Bulletin de sécurité SUSE SUSE-SR:2005:018 du 28 juillet 2005 : http://www.novell.com/linux/security/advisories/2005_18_sr.html
- Bulletin de sécurité de FreeBSD : http://www.vuxml.org/freebsd/pkg-fetchmail.html
