CERTA-2001-AVI-067

Vulnerability from certfr_avis - Published: - Updated:

Un débordement de mémoire dans la commande Fetchmail permet à un utilisateur mal intentionné de provoquer l'exécution de code arbitraire avec les privilèges de l'utilisateur qui se sert de cette commande.

Description

Fetchmail est un utilitaire unix permettant de récupérer ses mels depuis un serveur via les protocoles POP, IMAP...

Un champ TO: trop long inséré dans un message permet à un utilisateur mal intentionné de réaliser un débordement de mémoire et éventuellement de provoquer l'exécution d'un code arbitraire.

Le code arbitraire sera exécuté avec les privilèges de l'utilisateur se servant de la commande fetchmail.

Solution

La version 5.8.6 de fetchmail corrige le problème de dépassement de mémoire.

Cette version est disponible sur le site:

http://www.tuxedo.org/~esr/fetchmail

Se référer aux sites des différents distributeurs pour les mises-à-jour.

Toutes les versions de Fetchmail antérieures à 5.8.6.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eToutes les versions de Fetchmail  ant\u00e9rieures \u00e0 5.8.6.\u003c/p\u003e",
  "content": "## Description\n\nFetchmail est un utilitaire unix permettant de r\u00e9cup\u00e9rer ses mels depuis\nun serveur via les protocoles POP, IMAP...\n\nUn champ TO: trop long ins\u00e9r\u00e9 dans un message permet \u00e0 un utilisateur\nmal intentionn\u00e9 de r\u00e9aliser un d\u00e9bordement de m\u00e9moire et \u00e9ventuellement\nde provoquer l\u0027ex\u00e9cution d\u0027un code arbitraire.\n\nLe code arbitraire sera ex\u00e9cut\u00e9 avec les privil\u00e8ges de l\u0027utilisateur se\nservant de la commande fetchmail.\n\n## Solution\n\nLa version 5.8.6 de fetchmail corrige le probl\u00e8me de d\u00e9passement de\nm\u00e9moire.\n\nCette version est disponible sur le site:\n\n    http://www.tuxedo.org/~esr/fetchmail\n\n  \n  \n\nSe r\u00e9f\u00e9rer aux sites des diff\u00e9rents distributeurs pour les mises-\u00e0-jour.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2001-AVI-067",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-06-27T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Obtention du privil\u00e8ges root \u00e0 distance"
    }
  ],
  "summary": "Un d\u00e9bordement de m\u00e9moire dans la commande Fetchmail permet \u00e0 un\nutilisateur mal intentionn\u00e9 de provoquer l\u0027ex\u00e9cution de code arbitraire\navec les privil\u00e8ges de l\u0027utilisateur qui se sert de cette commande.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans fetchmail",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 Debian DSA-060-1",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.