Csomag: fetchmail, fetchmail-ssl
Sebezhetőség: puffer túlcsordulás
Probléma-típus: távoli
Debian-specifikus: nem
[ Újraküldve, mert ez a hibajegy nem jelent meg az archívumban. ]
Stefan Esser számos puffertúlcsordulást talált, valamint hibás határellenőrzést a fetchmailben. Ha a fetchmailt multidrop módban futtatják, akkor ez oda vezethet, hogy távoli támadók összeomlaszthatják, vagy tetszőleges kódot futtathatnak a fetchmailt futtató felhasználó user id-je alatt. Konfigurációtól függően ez akár a távoli root kompromittálódására is utal.A probléma javítva van a 5.9.11-6.1 verzióban mind a fetchmail, mind a fetchmail-ssl esetén az aktuális stabil terjesztésben (woody), valamint a 5.3.3-4.2 verzióban a fetchmail a régi stabil terjesztésben (potato) és a 6.1.0-1 verzióban mind a fetchmail, mind a fetchmail-ssl az aktuális instabil terjesztésben(sid). Nincsenek fetchmail-ssl csomagok a régi stabil terjesztésben (potato) és ennélfogva ezeknek frissítésük sincs.
A fetchmail csomagok azonnali frissítését javasoljuk.
Martin Schultze levele a debian-security-announce listán.
A frissítésről szóló FAQ-nk.