CERTA-2007-AVI-020
Vulnerability from certfr_avis - Published: - Updated:
Plusieurs vulnérabilités dans Fetchmail permettent à un utilisateur distant de provoquer un déni de service ou de porter atteinte à la confidentialité de données de connexions.
Description
Deux vulnérabilités sont présentes dans l'utilitaire de reccupération de mail Fetchmail :
- la première vulnérabilité est de type «pointeur nul» et permet à un utilisateur distant de provoquer un arrêt inopiné du service par le biais d'un message construit de façon particulière ;
- la deuxième vulnérabilité concerne un ensemble d'erreurs dans la mise en œuvre d'un certain nombre de systèmes d'authentification. Ces erreurs permettraient à un utilisateur distant de forcer Fetchmail à envoyer les données de connexions comme les mots de passe en clair plutôt qu'en chiffré comme indiqué dans son fichier de configuration.
Solution
La version 6.3.6 de Fetchmail corrige le problème :
http://fetchmail.berlios.de
Fetchmail versions 6.3.5 et antérieures.
Impacted products
| Vendor | Product | Description |
|---|
References
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003eFetchmail versions 6.3.5 et ant\u00e9rieures.\u003c/p\u003e",
"content": "## Description\n\nDeux vuln\u00e9rabilit\u00e9s sont pr\u00e9sentes dans l\u0027utilitaire de reccup\u00e9ration de\nmail Fetchmail :\n\n- la premi\u00e8re vuln\u00e9rabilit\u00e9 est de type \u00abpointeur nul\u00bb et permet \u00e0 un\n utilisateur distant de provoquer un arr\u00eat inopin\u00e9 du service par le\n biais d\u0027un message construit de fa\u00e7on particuli\u00e8re ;\n- la deuxi\u00e8me vuln\u00e9rabilit\u00e9 concerne un ensemble d\u0027erreurs dans la\n mise en \u0153uvre d\u0027un certain nombre de syst\u00e8mes d\u0027authentification.\n Ces erreurs permettraient \u00e0 un utilisateur distant de forcer\n Fetchmail \u00e0 envoyer les donn\u00e9es de connexions comme les mots de\n passe en clair plut\u00f4t qu\u0027en chiffr\u00e9 comme indiqu\u00e9 dans son fichier\n de configuration.\n\n## Solution\n\nLa version 6.3.6 de Fetchmail corrige le probl\u00e8me :\n\n http://fetchmail.berlios.de\n",
"cves": [
{
"name": "CVE-2006-5867",
"url": "https://www.cve.org/CVERecord?id=CVE-2006-5867"
},
{
"name": "CVE-2006-5974",
"url": "https://www.cve.org/CVERecord?id=CVE-2006-5974"
}
],
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 Fetchmail SA-2006-02 du 04 janvier 2007 :",
"url": "http://fetchmail.berlios.de/fetchmail-SA-2006-02.txt"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Ubuntu USN-405-1 du 11 janvier 2007 :",
"url": "http://www.ubuntu.com/usn/usn-405-1"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-1259 du 14 f\u00e9vrier 2007 :",
"url": "http://www.debian.org/security/2007/dsa-1259"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Fetchmail SA-2006-03 du 04 janvier 2007 :",
"url": "http://fetchmail.berlios.de/fetchmail-SA-2006-03.txt"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 SuSE SUSE-SR:2007:004 du 16 mars 2007 :",
"url": "http://lists.suse.com/archive/suse-security-announce/2007-Mar/0005.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2007:016 du 15 janvier 2007 :",
"url": "http://www.mandriva.com/security/advisories?name=MDKSA-2007:016"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200701-13 du 22 janvier 2007 :",
"url": "http://www.gentoo.org/security/en/glsa/glsa-200701-13.xml"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2007:0018 du 31 janvier 2007 :",
"url": "http://rhn.redhat.com/errata/RHSA-2007-0018.html"
}
],
"reference": "CERTA-2007-AVI-020",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2007-01-10T00:00:00.000000"
},
{
"description": "ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 Gentoo, Mandriva et Ubuntu.",
"revision_date": "2007-01-29T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 RedHat.",
"revision_date": "2007-02-02T00:00:00.000000"
},
{
"description": "ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 Debian et SuSE.",
"revision_date": "2007-03-26T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
},
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "Plusieurs vuln\u00e9rabilit\u00e9s dans Fetchmail permettent \u00e0 un utilisateur\ndistant de provoquer un d\u00e9ni de service ou de porter atteinte \u00e0 la\nconfidentialit\u00e9 de donn\u00e9es de connexions.\n",
"title": "Multiples vuln\u00e9rabilit\u00e9s dans Fetchmail",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletins de s\u00e9curit\u00e9 Fetchmail SA-2006-02 et SA-2006-03",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…