Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 07 août 2009

N° CERTA-2009-AVI-316

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Fetchmail

Gestion du document

Référence	CERTA-2009-AVI-316
Titre	Vulnérabilité dans Fetchmail
Date de la première version	07 août 2009
Date de la dernière version	19 août 2009
Source(s)	Bulletin de sécurité Fetchmail du 06 août 2009

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données

Systèmes affectés

Fetchmail versions 6.3.10 et antérieures.

Résumé

Une vulnérabilité dans Fetchmail permet à un utilisateur distant de porter atteinte à l'intégrité et à la confidentialité des données.

Description

Une vulnérabilité dans la mise en œuvre de SSL et relative à un manque de contrôle dans les certificats au format x509 dans Fetchmail permet à un utilisateur distant de porter atteinte à la confidentialité ou à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Debian DSA-1852 du 07 août 2009:

http://www.debian.org/security/2009/dsa-1852

Bulletin de sécurité Mandriva MDVSA-2009:201 du 12 août 2009 :

http://www.mandriva.com/security/advisories?name=MDVSA-2009:201

Bulletin de sécurité Ubuntu USN-816-1 du 12 août 2009 :

http://www.ubuntu.com/usn/usn-816-1

Bulletin de sécurité de Fetchmail SA-2009-01 du 06 août 2009 :

http://www.fetchmail.info/fetchmail-SA-2009-01.txt

Référence CVE CVE-2009-2666

https://www.cve.org/CVERecord?id=CVE-2009-2666

Gestion détaillée du document

le 07 août 2009: version initiale.
le 19 août 2009: ajout des références aux bulletins Debian, Mandriva et Ubuntu.