Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Описание
Стефан Эссер (Stefan Esser) из e-matters обнаружил переполнение
буфера в fetchmail, приёмщике/пересыльщике почты по протоколам POP3,
APOP и IMAP с поддержкой SSL. Когда fetchmail получает сообщение,
он просматривает все содержащие адреса заголовки в поисках локальных
адресов. Если имя хоста пропущено, fetchmail присоединяет его, но
не выделяет для этого достаточно памяти. Такое переполнение кучи может
использоваться удалёнными нападающими для нарушения работы fetchmail
или для выполнения произвольного кода с привилегиями пользователя,
запустившего fetchmail.
В текущем стабильном дистрибутиве (woody) эта проблема исправлена
в fetchmail и fetchmail-ssl версии 5.9.11-6.2.
В старом стабильном дистрибутиве (potato) эта проблема исправлена
в версии 5.3.3-4.3.
В нестабильном дистрибутиве (sid) эта проблема исправлена
в fetchmail и fetchmail-ssl версии 6.2.0-1.
Мы рекомендуем вам обновить пакеты fetchmail.
буфера в fetchmail, приёмщике/пересыльщике почты по протоколам POP3,
APOP и IMAP с поддержкой SSL. Когда fetchmail получает сообщение,
он просматривает все содержащие адреса заголовки в поисках локальных
адресов. Если имя хоста пропущено, fetchmail присоединяет его, но
не выделяет для этого достаточно памяти. Такое переполнение кучи может
использоваться удалёнными нападающими для нарушения работы fetchmail
или для выполнения произвольного кода с привилегиями пользователя,
запустившего fetchmail.
В текущем стабильном дистрибутиве (woody) эта проблема исправлена
в fetchmail и fetchmail-ssl версии 5.9.11-6.2.
В старом стабильном дистрибутиве (potato) эта проблема исправлена
в версии 5.3.3-4.3.
В нестабильном дистрибутиве (sid) эта проблема исправлена
в fetchmail и fetchmail-ssl версии 6.2.0-1.
Мы рекомендуем вам обновить пакеты fetchmail.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
s390x:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
m68k:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
i686:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
hppa:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
sparc:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
alpha:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
ia64:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
mips:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
noarch:
fetchmail-common - 5.9.11-6.2
fetchmailconf - 5.9.11-6.2
mipsel:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
arm:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
Debian GNU/Linux 2.2:
ppc:
fetchmail - 5.3.3-4.3
m68k:
fetchmail - 5.3.3-4.3
noarch:
fetchmailconf - 5.3.3-4.3
sparc:
fetchmail - 5.3.3-4.3
alpha:
fetchmail - 5.3.3-4.3
i686:
fetchmail - 5.3.3-4.3
arm:
fetchmail - 5.3.3-4.3
Debian GNU/Linux 3.0:
ppc:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
s390x:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
m68k:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
i686:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
hppa:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
sparc:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
alpha:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
ia64:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
mips:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
noarch:
fetchmail-common - 5.9.11-6.2
fetchmailconf - 5.9.11-6.2
mipsel:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
arm:
fetchmail - 5.9.11-6.2
fetchmail-ssl - 5.9.11-6.2
Debian GNU/Linux 2.2:
ppc:
fetchmail - 5.3.3-4.3
m68k:
fetchmail - 5.3.3-4.3
noarch:
fetchmailconf - 5.3.3-4.3
sparc:
fetchmail - 5.3.3-4.3
alpha:
fetchmail - 5.3.3-4.3
i686:
fetchmail - 5.3.3-4.3
arm:
fetchmail - 5.3.3-4.3
Ссылки
http://www.debian.org/security/dsa-216/
Источник: CVE
Наименование: CVE-2002-1365
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1365
Источник: CVE
Наименование: CVE-2002-1365
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1365