Informations de sécurité / 2002 / Informations sur la sécurité -- DSA-216-1 fetchmail

Bulletin d'alerte Debian

DSA-216-1 fetchmail -- Débordement de tampon

Date du rapport :

24 décembre 2002

Paquets concernés :

fetchmail

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 6390.
Dans le dictionnaire CVE du Mitre : CVE-2002-1365.

Plus de précisions :

Stefan Esser d'e-matters a découvert un débordement de tampon dans fetchmail, un outil de réception/renvoi de courriers électroniques sur les protocoles POP3, APOP et IMAP qui est capable de fonctionner en SSL. Lorsque fetchmail réceptionne un courrier électronique, tous les entêtes qui contiennent des adresses sont analysés afin de savoir s'il s'agit d'un utilisateur local. Lorsque le nom d'hôte est manquant, fetchmail l'ajoute, mais ne réserve pas assez d'espace en mémoire. Ce débordement de tas (« heap overflow ») peut être utilisé par un attaquant distant pour le faire planter ou faire exécuter un code arbitraire avec les droits de l'utilisateur qui fait fonctionner fetchmail.

Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 5.9.11-6.2 de fetchmail et de fetchmail-ssl.

Pour l'ancienne distribution stable (Potato), ce problème a été corrigé dans la version 5.3.3-4.3.

Pour la distribution instable (Sid), ce problème a été corrigé dans la version 6.2.0-1 de fetchmail et de fetchmail-ssl.

Nous vous recommandons de mettre à jour vos paquets fetchmail.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.3.3-4.3.dsc

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.3.3-4.3.diff.gz

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.3.3.orig.tar.gz

Composant indépendant de l'architecture :

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmailconf_5.3.3-4.3_all.deb

Alpha:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.3.3-4.3_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.3.3-4.3_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.3.3-4.3_i386.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.3.3-4.3_m68k.deb

PowerPC:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.3.3-4.3_powerpc.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.3.3-4.3_sparc.deb

Debian GNU/Linux 3.0 (woody)

Source :

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2.dsc

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2.diff.gz

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11.orig.tar.gz

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2.dsc

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2.diff.gz

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11.orig.tar.gz

Composant indépendant de l'architecture :

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail-common_5.9.11-6.2_all.deb

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmailconf_5.9.11-6.2_all.deb

Alpha:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_alpha.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_arm.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_i386.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_ia64.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_hppa.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_m68k.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_mips.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_mipsel.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_powerpc.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_s390.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.2_sparc.deb

http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.2_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.