[Generic/fetchmail] Fehler beim Verarbeiten von Mail-Headern
(2002-09-30 08:21:20.615766+00)
Quelle:
http://cert.uni-stuttgart.de/archive/vulnwatch/2002/09/msg00038.htmlIn fetchmail sind weitere Schwachstellen entdeckt worden,
die vor allem im Zusammenhang mit dem "multidrop"-Modus kritisch sind.
Betroffene Systeme
fetchmailvor Version 6.1.0
Einfallstor
E-Mail-Nachricht,
die mit fetchmail von einem Mailserver abgeholt wird.
Auswirkung
Ein Angreifer kann wahrscheinlich beliebigen Code mit den Rechten
des Nutzers ausführen, welcher fetchmail aufruft.
Typ der Verwundbarkeit
buffer overflow bug
Gefahrenpotential
hoch bis sehr hoch (abhängig vom Benutzer,
der fetchmail aufruft)
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Beschreibung
In fetchmail wurden mehrere Pufferüberlauffehler entdeckt.
Ein Fehler hängt davon ab, wie groß das Betriebssystem einen Puffer
dimensioniert; die meisten Systeme scheinen dieses Problem nicht aufzuweisen, da der Puffer dort klein genug ist.
Weitere Probleme tauchen nur im "multidrop"-Modus auf. Hier wird
bei der Verarbeitung von Received:-Zeilen
ein Puffer ohne jegliche Längenprüfung beschrieben. Wahrscheinlich
läßt sich diese Schwachstelle ausnutzen, um beliebigen Code mit
den Rechten des fetchmail-Prozesses auszuführen.
Ein Angreifer muß dabei nicht den Mailserver kontrollieren, von
dem fetchmail Mail abholt; es reicht aus, eine
entsprechende Nachricht an die abgerufene Mailbox zu schicken.
Gegenmaßnahmen
- Aktualisierung auf fetchmail 6.1.0.
- Umstieg auf einen anderen Mechanismus, um Mail auf das lokale Systeme zu transferieren.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=973