Risque
Atteinte à la confidentialité des données.
Systèmes affectés
Fetchmail 6.x.
Résumé
Une vulnérabilité dans fetchmail permet à un utilisateur local mal intentionné de porter atteinte à la confidentialité de certaines données.
Description
Fetchmail est un utilitaire permettant la récupération et éventuellement le réacheminement de courriers électroniques.
Une vulnérabilité dans l'outil de configuration associé à fetchmail : fetchmailconf, permet à un utilisateur local mal intentionné d'avoir accès temporairement au fichier de configuration de fetchmail contenant identifiants et mots de passe de messagerie.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site de l'éditeur :
http://fetchmail.berlios.de
- Bulletin de sécurité fetchmail du 21 octobre 2005 :
http://fetchmail.berlios.de/fetchmail-SA-2005-02.txt
- Bulletin de sécurité Gentoo glsa-200511-06 du 06 novembre 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200511-06.xml
- Bulletin de sécurité Mandriva MDKSA-2005:209 du 09 novembre 2005 :
http://www.mandriva.com/security/advisories?name=MDKSA-2005:209
- Bulletin de sécurité Ubuntu USN-215 du 09 novembre 2005 :
http://www.ubuntu.com/usn/usn-215-1
- Bulletin de sécurité Debian DSA-900 du 18 novembre 2005 :
http://www.debian.org/security/2005/dsa-900
- Référence CVE CAN-2005-3088 :
https://www.cve.org/CVERecord?id=CAN-2005-3088
