Debianin tietoturvatiedote
DSA-071-1 fetchmail -- muistin turmeleminen
- Ilmoitettu:
- 10. 8.2001
- Vaikutuksen alaiset paketit:
- fetchmail
- Altis:
- Kyllä
- Viittaukset tietoturvatietokantoihin:
- Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 3164, BugTraq-tunniste 3166.
Mitren CVE-sanakirjassa: CVE-2001-1009. - Lisätietoa:
-
Salvatore Sanfilippo löysi turvatarkastusta tehdessään ongelman
fetchmail
ista, jota voidaan hyväksikäyttää etäkoneelta. Sekä IMAP- että POP3-koodit eivät tarkista syötettään ja tallentavat tällaisen numeron taulukkoon. Koska taulukon rajoja ei tarkisteta, hyökkääjä voi käyttää tätä kirjoittamaan mielivaltaista tietoa muistiin. Tämä ongelma voi tulla esiin jos käyttäjä siirtää postiaan räätälöidyltä IMAP- tai POP3-palvelimelta, jota hyökkääjä hallitsee.Tämä on korjattu versiossa 5.3.3-3. Suosittelemme
fetchmail
-paketin päivitystä välittömästi. - Korjattu:
-
Debian GNU/Linux 2.2 (potato)
- Lähde:
- http://security.debian.org/dists/stable/updates/main/source/fetchmail_5.3.3-3.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/fetchmail_5.3.3-3.dsc
- http://security.debian.org/dists/stable/updates/main/source/fetchmail_5.3.3.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/fetchmail_5.3.3-3.dsc
- Arkkitehtuuririippumaton komponentti:
- http://security.debian.org/dists/stable/updates/main/binary-all/fetchmailconf_5.3.3-3_all.deb
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/fetchmail_5.3.3-3_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/fetchmail_5.3.3-3_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/fetchmail_5.3.3-3_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/fetchmail_5.3.3-3_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/fetchmail_5.3.3-3_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/fetchmail_5.3.3-3_sparc.deb
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.