CERTA-2002-AVI-112
Vulnerability from certfr_avis - Published: - Updated:
Un débordement de mémoire dans la commande fetchmail permet à un utilisateur mal intentionné de provoquer l'exécution de code arbitraire avec les privilèges de l'utilisateur qui se sert de cette commande.
Description
Fetchmail est un utilitaire permettant de récupérer ses méls depuis un serveur de méls distant via divers protocoles (POP, IMAP...). Lors de la récupération des méls depuis un serveur IMAP, fetchmail alloue une zone mémoire afin de stocker la taille des messages. La taille de cette zone mémoire dépend du nombre de méls à récupérer sur le serveur.
En annonçant un nombre de méls incorrect, un serveur malicieux peut provoquer un débordement de mémoire dans la commande fetchmail, pouvant entraîner l'exécution de code arbitraire avec les privilèges de l'utilisateur qui se sert de cette commande.
Solution
La version 5.9.10 corrige cette vulnérabilité. Cette version est disponible sur le site :
http://www.tuxedo.org/~esr/fetchmail
Toutes les versions de fetchmail antérieures à 5.9.10.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003eToutes les versions de fetchmail ant\u00e9rieures \u00e0 5.9.10.\u003c/p\u003e",
"content": "## Description\n\nFetchmail est un utilitaire permettant de r\u00e9cup\u00e9rer ses m\u00e9ls depuis un\nserveur de m\u00e9ls distant via divers protocoles (POP, IMAP...). Lors de la\nr\u00e9cup\u00e9ration des m\u00e9ls depuis un serveur IMAP, fetchmail alloue une zone\nm\u00e9moire afin de stocker la taille des messages. La taille de cette zone\nm\u00e9moire d\u00e9pend du nombre de m\u00e9ls \u00e0 r\u00e9cup\u00e9rer sur le serveur.\n\nEn annon\u00e7ant un nombre de m\u00e9ls incorrect, un serveur malicieux peut\nprovoquer un d\u00e9bordement de m\u00e9moire dans la commande fetchmail, pouvant\nentra\u00eener l\u0027ex\u00e9cution de code arbitraire avec les privil\u00e8ges de\nl\u0027utilisateur qui se sert de cette commande.\n\n## Solution\n\nLa version 5.9.10 corrige cette vuln\u00e9rabilit\u00e9. Cette version est\ndisponible sur le site :\n\n http://www.tuxedo.org/~esr/fetchmail\n",
"cves": [],
"links": [
{
"title": "Avis de s\u00e9curit\u00e9 MDKSA-2002:0036 de Mandrake :",
"url": "http://www.mandrakesecure.net/en/advisories/2002/MDKSA-2002-036.php"
}
],
"reference": "CERTA-2002-AVI-112",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2002-05-29T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "Un d\u00e9bordement de m\u00e9moire dans la commande fetchmail permet \u00e0 un\nutilisateur mal intentionn\u00e9 de provoquer l\u0027ex\u00e9cution de code arbitraire\navec les privil\u00e8ges de l\u0027utilisateur qui se sert de cette commande.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans fetchmail",
"vendor_advisories": [
{
"published_at": null,
"title": "Avis de s\u00e9curit\u00e9 RHSA-2002:047 de RedHat",
"url": "http://rhn.redhat.com/errata/RHSA-2002-047.html"
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.