Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance.
Systèmes affectés
- Fetchmail 6.3.11 ;
- Fetchmail 6.3.12 ;
- Fetchmail 6.3.13.
Résumé
Une vulnérabilité affectant Fetchmail permet à un utilisateur distant de provoquer un déni de service ou potentiellement d'exécuter du code arbitraire à distance.
Description
Une vulnérabilité de type débordement de mémoire est présente dans Fetchmail lorsqu'il est configuré en mode verbeux. Cette faille permet à un utilisateur distant de provoquer un déni de service ou d'exécuter du code arbitraire par le biais d'un certificat au format x509 construit de façon particulière.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site de fetchmail :
http://www.fetchmail.info
- Bulletin de sécurité Fetchmail fetchmail-SA-2010-01 du 04 février 2010 :
http://mknod.org/svn/fetchmail/branches/BRANCH_6-3/fetchmail-SA-2010-01.txt
http://www.fetchmail.info/fetchmail-SA-2010-01.txt