Risque

  • Exécution de code arbitraire à distance ;
  • déni de service.

Systèmes affectés

Toutes les versions de fetchmail antérieures ou égales à 6.1.3.

Résumé

Un débordement de mémoire dans fetchmail permet à un utilisateur mal intentionné de provoquer l'arrêt brutal ou l'exécution de code arbitraire avec les privilèges de l'utilisateur qui se sert de cette commande.

Description

Fetchmail est un utilitaire permettant de récupérer ses messages depuis un serveur de messagerie distant via divers protocoles (POP, IMAP...). La routine réalisant l'allocation mémoire pour le traitement des adresses locales ne réserve pas suffisamment de place en mémoire. L'exploitation de cette vulnérabilité permet à un utilisateur mal intentionné de provoquer l'arrêt brutal de fetchmail ou l'exécution de code arbitraire avec les privilèges de l'utilisateur qui se sert de cette commande.

Solution

La version 6.2.0 corrige cette vulnérabilité. Cette version est disponible sur le site :

http://www.tuxedo.org/ esr/fetchmail

Documentation