Vulnérabilité dans Fetchmail

Gestion du document

Référence	CERTA-2009-AVI-316-001
Titre	Vulnérabilité dans Fetchmail
Date de la première version	07 août 2009
Date de la dernière version	19 août 2009
Source(s)	Bulletin de sécurité Fetchmail du 06 août 2009
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Atteinte à l'intégrité des données ;
atteinte à la confidentialité des données.

Systèmes affectés

Fetchmail versions 6.3.10 et antérieures.

Résumé

Une vulnérabilité dans Fetchmail permet à un utilisateur distant de porter atteinte à l'intégrité et à la confidentialité des données.

Description

Une vulnérabilité dans la mise en œuvre de SSL et relative à un manque de contrôle dans les certificats au format x509 dans Fetchmail permet à un utilisateur distant de porter atteinte à la confidentialité ou à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité de Fetchmail SA-2009-01 du 06 août 2009 :
```
http://www.fetchmail.info/fetchmail-SA-2009-01.txt
```
Bulletin de sécurité Debian DSA-1852 du 07 août 2009:
```
http://www.debian.org/security/2009/dsa-1852
```
Bulletin de sécurité Mandriva MDVSA-2009:201 du 12 août 2009 :
```
http://www.mandriva.com/security/advisories?name=MDVSA-2009:201
```
Bulletin de sécurité Ubuntu USN-816-1 du 12 août 2009 :
```
http://www.ubuntu.com/usn/usn-816-1
```

Référence CVE CVE-2009-2666 :

https://www.cve.org/CVERecord?id=CVE-2009-2666

Gestion détaillée du document

le 07 août 2009: version initiale.

le 19 août 2009: ajout des références aux bulletins Debian, Mandriva et Ubuntu.

Avis du CERT-FR

Objet: Vulnérabilité dans Fetchmail