CERTA-2002-AVI-229
Vulnerability from certfr_avis - Published: - Updated:
Plusieurs vulnérabilités de type débordement de mémoire dans le paquetage fetchmail permettent à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire sur la machine cible.
Description
fetchmail est un outil permettant la récupération de messages électroniques sur un serveur distant et la transmission du message à un routeur de méls.
Plusieurs vulnérabilités dans le code de fetchmail gérant la gestion des en-têtes méls permettent à un utilisateur mal intentionné de réaliser un deni de service ou d'exécuter du code arbitraire sur la machine cible, avec les droits de l'utilisateur lançant fetchmail (éventuellement l'utilisateur root selon les configurations).
Solution
Installer le paquetage fetchmail version 6.1.0 ou supérieure.
Toutes les versions de fetchmail antérieures à la version 6.1.0.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | |
|---|---|---|---|
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003eToutes les versions de \u003cTT\u003efetchmail\u003c/TT\u003e ant\u00e9rieures \u00e0 la version 6.1.0.\u003c/p\u003e",
"content": "## Description\n\nfetchmail est un outil permettant la r\u00e9cup\u00e9ration de messages\n\u00e9lectroniques sur un serveur distant et la transmission du message \u00e0 un\nrouteur de m\u00e9ls.\n\nPlusieurs vuln\u00e9rabilit\u00e9s dans le code de fetchmail g\u00e9rant la gestion des\nen-t\u00eates m\u00e9ls permettent \u00e0 un utilisateur mal intentionn\u00e9 de r\u00e9aliser un\ndeni de service ou d\u0027ex\u00e9cuter du code arbitraire sur la machine cible,\navec les droits de l\u0027utilisateur lan\u00e7ant fetchmail (\u00e9ventuellement\nl\u0027utilisateur root selon les configurations).\n\n## Solution\n\nInstaller le paquetage fetchmail version 6.1.0 ou sup\u00e9rieure.\n",
"cves": [],
"links": [
{
"title": "Avis de s\u00e9curit\u00e9 RedHat Linux RHSA-2002:215-09",
"url": "http://rhn.redhat.com/errata/RHSA-2002-215.html"
},
{
"title": "Avis de s\u00e9curit\u00e9 de Debian GNU/Linux DSA 171-1",
"url": "http://www.debian.org/security/2002/dsa-171"
},
{
"title": "Avis de s\u00e9curit\u00e9 de Sun 47784",
"url": "http://sunsolve.sun.com"
},
{
"title": "Avis de s\u00e9curit\u00e9 de Mandrake Linux MDKS-2002-063",
"url": "http://www.mandrakesecure.net/en/advisories/2002/MDKSA-2002-063.php"
}
],
"reference": "CERTA-2002-AVI-229",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2002-10-15T00:00:00.000000"
},
{
"description": "ajout des vul\u00e9rabilit\u00e9s Mandrake et Sun.",
"revision_date": "2002-10-31T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire"
},
{
"description": "D\u00e9ni de service"
}
],
"summary": "Plusieurs vuln\u00e9rabilit\u00e9s de type d\u00e9bordement de m\u00e9moire dans le\npaquetage fetchmail permettent \u00e0 un utilisateur mal intentionn\u00e9 de\nr\u00e9aliser un d\u00e9ni de service ou d\u0027ex\u00e9cuter du code arbitraire sur la\nmachine cible.\n",
"title": "Vuln\u00e9rabilit\u00e9 de fetchmail",
"vendor_advisories": []
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.