Eric S. Raymond Fetchmail信息统计IMAP远程缓冲区溢出漏洞

漏洞信息详情

Eric S. Raymond Fetchmail信息统计IMAP远程缓冲区溢出漏洞

• CNNVD编号：CNNVD-200206-075
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0146
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-05-21
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  fetchmail
• 漏洞来源：
  bugzilla@redhat.c…

Fetchmail是一款由Eric S. Raymond维护的免费开放源代码邮件客户端。
Fetchmail在对信息索引统计处理时存在漏洞，可导致远程攻击者进行缓冲溢出攻击。
当Fetchmail接收来自IMAP服务器的邮件时，客户端会分配数组来存储它要获取的信息，而分配的数组大小由服务器决定，fetchmail 5.9.10版本之前的程序没有检查IMAP服务器提供的数字是否过高，攻击者可以伪造恶意服务器信息导致Fetchmail进程破坏数组边界造成缓冲区溢出，精心提供服务器响应信息可导致以Fetchmail进程的权限在目标系统上执行任意指令。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。
厂商补丁：
Eric Raymond
————
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

请升级到5.9.10版本以上：

Eric Raymond Upgrade fetchmail-5.9.10.tar.gz

http://tuxedo.org/~esr/fetchmail/fetchmail-5.9.10.tar.gz” target=”_blank”>
http://tuxedo.org/~esr/fetchmail/fetchmail-5.9.10.tar.gz
RedHat
——
RedHat已经为此发布了一个安全公告(RHSA-2002:047-10)以及相应补丁:

RHSA-2002:047-10：Updated fetchmail packages available

链接：https://www.redhat.com/support/errata/RHSA-2002-047.html” target=”_blank”>https://www.redhat.com/support/errata/RHSA-2002-047.html

补丁下载：

Red Hat Linux 6.2:

SRPMS:

ftp://updates.redhat.com/6.2/en/os/SRPMS/fetchmail-5.9.0-9.src.rpm

alpha:

ftp://updates.redhat.com/6.2/en/os/alpha/fetchmail-5.9.0-9.alpha.rpm

ftp://updates.redhat.com/6.2/en/os/alpha/fetchmailconf-5.9.0-9.alpha.rpm

i386:

ftp://updates.redhat.com/6.2/en/os/i386/fetchmail-5.9.0-9.i386.rpm

ftp://updates.redhat.com/6.2/en/os/i386/fetchmailconf-5.9.0-9.i386.rpm

sparc:

ftp://updates.redhat.com/6.2/en/os/sparc/fetchmail-5.9.0-9.sparc.rpm

ftp://updates.redhat.com/6.2/en/os/sparc/fetchmailconf-5.9.0-9.sparc.rpm

Red Hat Linux 7.0:

SRPMS:

ftp://updates.redhat.com/7.0/en/os/SRPMS/fetchmail-5.9.0-10.src.rpm

alpha:

ftp://updates.redhat.com/7.0/en/os/alpha/fetchmail-5.9.0-10.alpha.rpm

ftp://updates.redhat.com/7.0/en/os/alpha/fetchmailconf-5.9.0-10.alpha.rpm

i386:

ftp://updates.redhat.com/7.0/en/os/i386/fetchmail-5.9.0-10.i386.rpm

ftp://updates.redhat.com/7.0/en/os/i386/fetchmailconf-5.9.0-10.i386.rpm

Red Hat Linux 7.1:

SRPMS:

ftp://updates.redhat.com/7.1/en/os/SRPMS/fetchmail-5.9.0-10.src.rpm

alpha:

ftp://updates.redhat.com/7.1/en/os/alpha/fetchmail-5.9.0-10.alpha.rpm

ftp://updates.redhat.com/7.1/en/os/alpha/fetchmailconf-5.9.0-10.alpha.rpm

i386:

ftp://updates.redhat.com/7.1/en/os/i386/fetchmail-5.9.0-10.i386.rpm

ftp://updates.redhat.com/7.1/en/os/i386/fetchmailconf-5.9.0-10.i386.rpm

ia64:

ftp://updates.redhat.com/7.1/en/os/ia64/fetchmail-5.9.0-10.ia64.rpm

ftp://updates.redhat.com/7.1/en/os/ia64/fetchmailconf-5.9.0-10.ia64.rpm

Red Hat Linux 7.2:

SRPMS:

ftp://updates.redhat.com/7.2/en/os/SRPMS/fetchmail-5.9.0-11.src.rpm

i386:

ftp://updates.redhat.com/7.2/en/os/i386/fetchmail-5.9.0-11.i386.rpm

ftp://updates.redhat.com/7.2/en/os/i386/fetchmailconf-5.9.0-11.i386.rpm

ia64:

ftp://updates.redhat.com/7.2/en/os/ia64/fetchmail-5.9.0-11.ia64.rpm

ftp://updates.redhat.com/7.2/en/os/ia64/fetchmailconf-5.9.0-11.ia64.rpm

Red Hat Linux 7.3:

SRPMS:

ftp://updates.redhat.com/7.3/en/os/SRPMS/fetchmail-5.9.0-11.src.rpm

i386:

ftp://updates.redhat.com/7.3/en/os/i386/fetchmail-5.9.0-11.i386.rpm

ftp://updates.redhat.com/7.3/en/os/i386/fetchmailconf-5.9.0-11.i386.rpm

可使用下列命令安装补丁：

rpm -Fvh [文件名]

来源: REDHAT
名称: RHSA-2002:047
链接:http://www.redhat.com/support/errata/RHSA-2002-047.html

来源: BID
名称: 4788
链接:http://www.securityfocus.com/bid/4788

来源: MANDRAKE
名称: MDKSA-2002:036
链接:http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-036.php

来源: XF
名称: fetchmail-imap-msgnum-bo(9133)
链接:http://www.iss.net/security_center/static/9133.php

来源: HP
名称: HPSBTL0205-042
链接:http://online.securityfocus.com/advisories/4145

来源: CALDERA
名称: CSSA-2002-027.0
链接:ftp://ftp.caldera.com/pub/security/OpenLinux/CSSA-2002-027.0.txt