Tietoturvasta / 2002 / Tietoturvallisuudesta -- DSA-216-1 fetchmail

Debianin tietoturvatiedote

DSA-216-1 fetchmail -- puskurin ylivuoto

Ilmoitettu:

24.12.2002

Vaikutuksen alaiset paketit:

fetchmail

Altis:

Kyllä

Viittaukset tietoturvatietokantoihin:

Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 6390.
Mitren CVE-sanakirjassa: CVE-2002-1365.

Lisätietoa:

Stefan Esser e-matters'istä havaitsi fetchmailissa, SSL:lää hyödyntävässä POP3-, APOP- ja IMAP-postiohjelmassa puskurin ylivuodon. Kun fetchmail hakee postin, kaikista otsakkeista, jotka sisältävät osoitteita etsitään paikallisia osoitteita. Mikäli isäntäkoneen nimi puuttuu, fetchmail lisää sen mutta ei varaa sille riittävästi tilaa. Tätä muistitilan loppumiseen johtavaa ylivuotoa hyödyntämällä etähyökkääjän on mahdollista aiheuttaa ohjelman kaatuminen tai ajaa mielivaltaista koodia fetchmailia käyttävän käyttäjän oikeuksilla.

Ongelma on korjattu nykyisen vakaan jakelun (woody) fetchmailin ja fetchmail-ssl:än versiossa 5.9.11-6.2 .

Ongelma on korjattu aiemman vakaan jakelun (potato) versiossa 5.3.3-4.3.

Ongelma on korjattu epävakaan jakelun (sid) fetchmailin ja fetchmail-ssl:än versioissa 6.2.0-1 .

Suosittelemme päivittämään fetchmail-paketit.

Korjattu:

Debian GNU/Linux 2.2 (potato)

Lähde:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.3.3-4.3.dsc

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.3.3-4.3.diff.gz

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.3.3.orig.tar.gz

Arkkitehtuuririippumaton komponentti:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmailconf_5.3.3-4.3_all.deb

Alpha:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.3.3-4.3_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.3.3-4.3_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.3.3-4.3_i386.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.3.3-4.3_m68k.deb

PowerPC:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.3.3-4.3_powerpc.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.3.3-4.3_sparc.deb

Debian GNU/Linux 3.0 (woody)

Lähde:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2.dsc

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2.diff.gz

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11.orig.tar.gz

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2.dsc

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2.diff.gz

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11.orig.tar.gz

Arkkitehtuuririippumaton komponentti:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail-common_5.9.11-6.2_all.deb

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmailconf_5.9.11-6.2_all.deb

Alpha:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_alpha.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_arm.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_i386.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_ia64.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_hppa.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_m68k.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_mips.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_mipsel.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_powerpc.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_s390.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_sparc.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_sparc.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.