Vulnérabilité de fetchmail

Gestion du document

Référence	CERTA-2006-AVI-043-001
Titre	Vulnérabilité de fetchmail
Date de la première version	23 janvier 2006
Date de la dernière version	24 janvier 2006
Source(s)	Bulletin de sécurité fetchmail fetchmail-SA-2006-01 du 22 janvier 2006
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Déni de service.

Systèmes affectés

Toutes les versions de fetchmail antérieures à la version 6.3.2.
Il est à noter que la branche 6.2.5.x n'est plus maintenue.

Résumé

Une vulnérabilité de fetchmail permet à un utilisateur mal intentionné de réaliser un déni de service.

Description

fetchmail est un utilitaire UNIX permettant de récupérer ses messages électroniques depuis un serveur, via les protocoles POP, IMAP...
Une vulnérabilité dans la gestion des messages électroniques rejettés (bounced) permet à un utilisateur mal intentionné, via un message habilement construit, de réaliser un déni de service.

Solution

Mettre à jour fetchmail en version 6.3.2.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Site Internet de fetchmail :
```
http://fetchmail.berlios.de
```
Bulletin de sécurité fetchmail fetchmail-SA-2006-01 du 22 janvier 2006 :
```
http://fetchmail.berlios.de/fetchmail-SA-2006-01.txt
```
Bulletin de sécurité FreeBSD pour fetchmail du 23 janvier 2006 :
```
http://www.vuxml.org/freebsd/pkg-fetchmail.html
```

Référence CVE CVE-2006-0321 :

https://www.cve.org/CVERecord?id=CVE-2006-0321

Gestion détaillée du document

le 23 janvier 2006: version initiale.

le 24 janvier 2006: ajout de la référence au bulletin de sécurité FreeBSD.

Avis du CERT-FR

Objet: Vulnérabilité de fetchmail