Debian-Sicherheitsankündigung

DSA-071-1 fetchmail -- Speicher-Beschädigung

Datum des Berichts:
10. Aug 2001
Betroffene Pakete:
fetchmail
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 3164, BugTraq ID 3166.
In Mitres CVE-Verzeichnis: CVE-2001-1009.
Weitere Informationen:
Salvatore Sanfilippo hat zwei ausnutzbare Probleme in fetchmail gefunden, während er eine Sicherheits-Überprüfung durchgeführt hat. Im Code für IMAP und POP3 wurden die Eingaben nicht verifiziert, obwohl sie dafür benutzt werden, um eine Zahl in einem Array zu speichern. Da keine Grenzen überprüft wurden, kann dieses von einem Angreifer dazu genutzt werden, beliebige Daten in den Speicher zu schreiben. Angreifer können dies ausnutzen, wenn sie einen Benutzer dazu bringen, eine Mail von einem eigenen IMAP- oder POP3-Server zu transferieren, den sie kontrollieren.

Dieses wurde in der Version 5.3.3-3 behoben. Wir empfehlen Ihnen, dass Sie das Paket fetchmail umgehend aktualisieren.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:
http://security.debian.org/dists/stable/updates/main/source/fetchmail_5.3.3-3.diff.gz
http://security.debian.org/dists/stable/updates/main/source/fetchmail_5.3.3-3.dsc
http://security.debian.org/dists/stable/updates/main/source/fetchmail_5.3.3.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/dists/stable/updates/main/binary-all/fetchmailconf_5.3.3-3_all.deb
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/fetchmail_5.3.3-3_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/fetchmail_5.3.3-3_arm.deb
Intel IA-32:
http://security.debian.org/dists/stable/updates/main/binary-i386/fetchmail_5.3.3-3_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/fetchmail_5.3.3-3_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/fetchmail_5.3.3-3_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/fetchmail_5.3.3-3_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.