Bulletin d'alerte Debian
DSA-900-3 fetchmail -- Erreur de programmation
- Date du rapport :
- 18 novembre 2005
- Paquets concernés :
- fetchmail
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 336096.
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 15179.
Dans le dictionnaire CVE du Mitre : CVE-2005-3088. - Plus de précisions :
-
En raison de dépendances trop restrictives de fetchmail-ssl, le paquet fetchmailconf mis à jour ne pouvait pas être installé sur l'ancienne distribution stable (Woody) en même temps que fetchmail-ssl. Cette mise à jour relâche les dépendances, ce qui permet l'installation de la mise à jour. Voici ci-dessous l'intégralité du bulletin original :
Thomas Wolff a découvert que le programme fetchmailconf fourni dans fetchmail, un utilitaire courant de récupération de mail en POP3, APOP et IMAP, créait le nouveau fichier de configuration d'une manière non sécurisée, ce qui pouvait entraîner la divulgation aux utilisateurs locaux des mots de passe des comptes de courriel.
Cette mise à jour corrige également une régression introduite dans le paquet de la distribution stable par la dernière mise à jour de sécurité.
Pour l'ancienne distribution stable (Woody), ce problème a été corrigé dans la version 5.9.11-6.4 de fetchmail et dans la version 5.9.11-6.3 de fetchmail-ssl.
Pour l'actuelle distribution stable (Sarge), ce problème a été corrigé dans la version 6.2.5-12sarge3.
Pour la distribution instable (Sid), ce problème a été corrigé dans la version 6.2.5.4-1.
Nous vous recommandons de mettre à jour votre paquet fetchmail.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4.dsc
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4.diff.gz
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11.orig.tar.gz
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3.dsc
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3.diff.gz
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11.orig.tar.gz
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail-common_5.9.11-6.4_all.deb
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmailconf_5.9.11-6.4_all.deb
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmailconf_5.9.11-6.4_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_alpha.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_alpha.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_arm.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_arm.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_i386.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_i386.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_ia64.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_ia64.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_hppa.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_hppa.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_m68k.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_m68k.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_mips.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_mips.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_mipsel.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_mipsel.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_powerpc.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_powerpc.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_s390.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_s390.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_5.9.11-6.4_sparc.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_sparc.deb
- http://security.debian.org/pool/updates/main/f/fetchmail-ssl/fetchmail-ssl_5.9.11-6.3_sparc.deb
Debian GNU/Linux 3.1 (sarge)
- Source :
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3.dsc
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3.diff.gz
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5.orig.tar.gz
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail-ssl_6.2.5-12sarge3_all.deb
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmailconf_6.2.5-12sarge3_all.deb
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmailconf_6.2.5-12sarge3_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge3_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.
Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.
Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.
