Aviso de seguridad de Debian

DSA-900-3 fetchmail -- error de programación

Fecha del informe:
18 de nov de 2005
Paquetes afectados:
fetchmail
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 336096.
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 15179.
En el diccionario CVE de Mitre: CVE-2005-3088.
Información adicional:

Debido a una definición restrictiva de las dependencias para fetchmail-ssl, el paquete actualizado de fetchmailconf no se pudo instalar en la distribución estable (woody), junto con fetchmail-ssl. Por tanto, esta actualización la perdía y el paquete no se podía obtener. Para tener una mejor visión de conjunto del aviso, se reproduce a continuación el texto del aviso original:

Thomas Wolff descubrió que el programa fetchmailconf. que se proporciona como parte de fetchmail, una utilidad paara descargar y reenviar correo de servidores POP3 (y POP3 con SSL), APOP e IMAP, creaba la configuración nueva de una forma insegura, que podía llevar a una debilidad en las contraseñas para las cuentas de correo de los usuarios locales.

Esta actualización también corrige una regresión en el paquete que había en estable y que provocó la última actualización de seguridad.

Para la distribución estable anterior (woody), este problema se ha corregido en la versión 5.9.11-6.4 de fetchmail y en la versión 5.9.11-6.3 de fetchmail-ssl.

Para la distribución estable (sarge), este problema se ha corregido en la versión 6.2.5-12sarge3.

Para la distribución inestable (sid), este problema se ha corregido en la versión 6.2.5.4-1.

Le recomendamos que actualice el paquete fetchmail.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4.dsc
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4.diff.gz
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11.orig.tar.gz
http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3.dsc
http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3.diff.gz
http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail-common_5.9.11-6.4_all.deb
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmailconf_5.9.11-6.4_all.deb
Alpha:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_alpha.deb
http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_arm.deb
http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_i386.deb
http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_ia64.deb
http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_hppa.deb
http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_m68k.deb
http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_mips.deb
http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_mipsel.deb
http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_powerpc.deb
http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_s390.deb
http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_sparc.deb
http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_sparc.deb

Debian GNU/Linux 3.1 (sarge)

Fuentes:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3.dsc
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3.diff.gz
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail-ssl_6.2.5-12sarge3_all.deb
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmailconf_6.2.5-12sarge3_all.deb
Alpha:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso revisado.

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso revisado.