Risque
Déni de service.
Systèmes affectés
Toutes les versions de fetchmail antérieures à la version 6.3.2.
Il est à noter que la branche 6.2.5.x n'est plus maintenue.
Résumé
Une vulnérabilité de fetchmail permet à un utilisateur mal intentionné de réaliser un déni de service.
Description
fetchmail est un utilitaire UNIX permettant de récupérer ses messages électroniques depuis un serveur, via les protocoles POP, IMAP...Une vulnérabilité dans la gestion des messages électroniques rejettés (bounced) permet à un utilisateur mal intentionné, via un message habilement construit, de réaliser un déni de service.
Solution
Mettre à jour fetchmail en version 6.3.2.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet de fetchmail :
http://fetchmail.berlios.de
- Bulletin de sécurité fetchmail fetchmail-SA-2006-01 du 22 janvier 2006 :
http://fetchmail.berlios.de/fetchmail-SA-2006-01.txt
- Bulletin de sécurité FreeBSD pour fetchmail du 23 janvier 2006 :
http://www.vuxml.org/freebsd/pkg-fetchmail.html
- Référence CVE CVE-2006-0321 :
https://www.cve.org/CVERecord?id=CVE-2006-0321