Debian-Sicherheitsankündigung
DSA-071-1 fetchmail -- Speicher-Beschädigung
- Datum des Berichts:
- 10. Aug 2001
- Betroffene Pakete:
- fetchmail
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 3164, BugTraq ID 3166.
In Mitres CVE-Verzeichnis: CVE-2001-1009. - Weitere Informationen:
-
Salvatore Sanfilippo hat zwei ausnutzbare Probleme in
fetchmailgefunden, während er eine Sicherheits-Überprüfung durchgeführt hat. Im Code für IMAP und POP3 wurden die Eingaben nicht verifiziert, obwohl sie dafür benutzt werden, um eine Zahl in einem Array zu speichern. Da keine Grenzen überprüft wurden, kann dieses von einem Angreifer dazu genutzt werden, beliebige Daten in den Speicher zu schreiben. Angreifer können dies ausnutzen, wenn sie einen Benutzer dazu bringen, eine Mail von einem eigenen IMAP- oder POP3-Server zu transferieren, den sie kontrollieren.Dieses wurde in der Version 5.3.3-3 behoben. Wir empfehlen Ihnen, dass Sie das Paket
fetchmailumgehend aktualisieren. - Behoben in:
-
Debian GNU/Linux 2.2 (potato)
- Quellcode:
- http://security.debian.org/dists/stable/updates/main/source/fetchmail_5.3.3-3.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/fetchmail_5.3.3-3.dsc
- http://security.debian.org/dists/stable/updates/main/source/fetchmail_5.3.3.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/fetchmail_5.3.3-3.dsc
- Architektur-unabhängige Dateien:
- http://security.debian.org/dists/stable/updates/main/binary-all/fetchmailconf_5.3.3-3_all.deb
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/fetchmail_5.3.3-3_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/fetchmail_5.3.3-3_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/fetchmail_5.3.3-3_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/fetchmail_5.3.3-3_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/fetchmail_5.3.3-3_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/fetchmail_5.3.3-3_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.