Información sobre seguridad / 1999 / Información sobre seguridad -- qpopper

Aviso de seguridad de Debian

qpopper -- desbordamiento de búfer en qpopper

Fecha del informe:

15 de dic de 1999

Paquetes afectados:

qpopper

Vulnerable:

No

Referencias a bases de datos de seguridad:

En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 133.
En el diccionario CVE de Mitre: CVE-1999-0006.

Información adicional:

Se informó de un desbordamiento de búfer en la beta de Qualcomm's qpopper versión 3. Esta versión de qpopper no está incluida en Debian; la versión de qpopper que va con Debian GNU/Linux 2.1 (qpopper 2.3-4) no es vulnerable al desbordamiento.

La vulnerabilidad se debía a que no se comprobaban los límites para los buffers de entrada al usar vsprintf o sprintf. Para más detalles, vea el archivo BugTraq de Stuttgart o el archivo de SecurityFocus. Ambos enlaces hacen referencia al mismo correo-e de Qpopper Support en Qualcomm e incluyen el informe de error original de Mixter.