Debian-Sicherheitsankündigung
DSA-900-3 fetchmail -- Programmierfehler
- Datum des Berichts:
- 18. Nov 2005
- Betroffene Pakete:
- fetchmail
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 336096.
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 15179.
In Mitres CVE-Verzeichnis: CVE-2005-3088. - Weitere Informationen:
-
Auf Grund von zu streng definierten Abhängigkeiten im Paket fetchmail-ssl konnte das aktualisierte fetchmailconf-Paket nicht gemeinsam mit fetchmail-ssl auf der alten Stable-Distribution (Woody) installiert werden. Die Abhängigkeiten werden in dieser Aktualisierung wieder gelockert, so dass das Paket nun installiert werden kann. Der Vollständigkeit halber ist unten der Text der ursprünglichen Ankündigung wiedergegeben:
Thomas Wolff entdeckte, dass das Programm fetchmailconf seine neue Konfiguration in einer unsicheren Art und Weise erstellt. Dadurch können Passwörter für E-Mail-Konten an lokale Benutzer preisgegeben werden. Das Programm fetchmailconf ist Bestandteil von fetchmail, einem Programm zum Einsammeln und Weiterleiten von E-Mails aus POP3-, APOP- und IMAP-Konten mit SSL-Unterstützung.
Diese Aktualisierung behebt außerdem einen Rückschritt im Paket für Stable, der durch die letzte Sicherheitsaktualisierung eingeführt wurde.
Für die alte Stable-Distribution (Woody) wurde dieses Problem in Version 5.9.11-6.4 von fetchmail und in Version 5.9.11-6.3 von fetchmail-ssl behoben.
Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 6.2.5-12sarge3 behoben.
Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 6.2.5.4-1 behoben.
Wir empfehlen Ihnen, Ihr fetchmail-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4.dsc
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4.diff.gz
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11.orig.tar.gz
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3.dsc
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3.diff.gz
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11.orig.tar.gz
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail-common_5.9.11-6.4_all.deb
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmailconf_5.9.11-6.4_all.deb
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmailconf_5.9.11-6.4_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_alpha.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_alpha.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_arm.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_arm.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_i386.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_i386.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_ia64.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_ia64.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_hppa.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_hppa.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_m68k.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_m68k.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_mips.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_mips.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_mipsel.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_mipsel.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_powerpc.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_powerpc.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_s390.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_s390.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_sparc.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_sparc.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_sparc.deb
Debian GNU/Linux 3.1 (sarge)
- Quellcode:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3.dsc
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3.diff.gz
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5.orig.tar.gz
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail-ssl_6.2.5-12sarge3_all.deb
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmailconf_6.2.5-12sarge3_all.deb
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmailconf_6.2.5-12sarge3_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.
MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.
MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.