Aviso de seguridad de Debian

DSA-071-1 fetchmail -- corrupción de memoria

Fecha del informe:
10 de ago de 2001
Paquetes afectados:
fetchmail
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 3164, Id. en BugTraq 3166.
En el diccionario CVE de Mitre: CVE-2001-1009.
Información adicional:
Salvatore Sanfilippo encontró dos problemas explotables remotamente en fetchmail mientras hacía una auditoría de seguridad. Tanto en el código IMAP como en el POP3, la entrada no se verifica incluso aunque se usa para almacenar un número en un array. Ya que no hay ningún tipo de comprobación de límites, esto puede usarse por un atacante para escribir datos arbitrarios en memoria. Un atacante puede usarlo si puede obtener un usuario para transferirle correo desde un servidor IMAP o POP3 cualquiera que él controle.

Esto se ha arreglado en la versión 5.3.3-3, y recomendamos que actualice sus paquetes de fetchmail inmediatamente.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:
http://security.debian.org/dists/stable/updates/main/source/fetchmail_5.3.3-3.diff.gz
http://security.debian.org/dists/stable/updates/main/source/fetchmail_5.3.3-3.dsc
http://security.debian.org/dists/stable/updates/main/source/fetchmail_5.3.3.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/dists/stable/updates/main/binary-all/fetchmailconf_5.3.3-3_all.deb
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/fetchmail_5.3.3-3_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/fetchmail_5.3.3-3_arm.deb
Intel IA-32:
http://security.debian.org/dists/stable/updates/main/binary-i386/fetchmail_5.3.3-3_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/fetchmail_5.3.3-3_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/fetchmail_5.3.3-3_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/fetchmail_5.3.3-3_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.