Säkerhetsbulletin från Debian

DSA-071-1 fetchmail -- minnesförstörande

Rapporterat den:

2001-08-10

Berörda paket:

fetchmail

Sårbara:

Referenser i säkerhetsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 3164, BugTraq-id 3166.
I Mitres CVE-förteckning: CVE-2001-1009.

Ytterligare information:

Salvatore Sanfilippo hittade två utifrån utnyttjbara problem i fetchmail under en säkerhetsöversikt. Indata kontrolleras inte på ett säkert sätt i varken IMAP- eller POP3-koden trots att dessa värden används för att lagra tal i ett fält. Eftersom inga gränskontroller utförs kan detta användas av en angripare för att skriva godtycklig data till minnet. En angripare kan använda detta för att få en användare att överföra e-post från en egen IMAP- eller POP3-server under sin kontroll.

Detta har rättats i version 5.3.3-3, och vi rekommenderar att du uppdaterar dina fetchmail-paket omedelbart.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:: http://security.debian.org/dists/stable/updates/main/source/fetchmail_5.3.3-3.diff.gz; http://security.debian.org/dists/stable/updates/main/source/fetchmail_5.3.3-3.dsc; http://security.debian.org/dists/stable/updates/main/source/fetchmail_5.3.3.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/dists/stable/updates/main/binary-all/fetchmailconf_5.3.3-3_all.deb
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/fetchmail_5.3.3-3_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/fetchmail_5.3.3-3_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/fetchmail_5.3.3-3_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/fetchmail_5.3.3-3_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/fetchmail_5.3.3-3_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/fetchmail_5.3.3-3_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.