[Generic/fetchmail] Buffer overflow im Header-Parser
(2001-06-15 17:10:20+00)
Quelle:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=100394
In dem Code, der die Kopfzeilen (headers) von E-Mail-Nachrichten im Internet-Format analysiert, ist ein buffer overflow bug enthalten.
Betroffene Systeme
- Systeme, die
fetchmail
in Versionen vor 5.8.6 verwenden.
Einfallstor
Mail, die mit fetchmail
abgeholt wird.
Auswirkung
Kompromittierung des Accounts, unter dem fetchmail
läuft,
bzw. denial of service bei unbeabsichtigter Auslösung der
Schwachstelle.
Typ der Verwundbarkeit
buffer overflow bug
Gefahrenpotential
hoch
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Beschreibung
Bei der Analyse des Inhaltes der To:
-Zeile arbeitet
fetchmail
mit einem Puffer fester Länge.
Falls eine Nachricht mit einer überlangen
To:
-Zeile angetroffen wird (wie sie beispielsweise bei
Spam-Mail üblich sind), bricht fetchmail
die Ausführung ab; weitere Mail wird nicht zugestellt. Ferner kann ein
Angreifer, der die To:
-Zeile geschickt wählt, wahrscheinlich
den Account kompromittieren, unter dem fetchmail
läuft,
und so zumindest an das Mailbox-Paßwort gelangen.
Gegenmaßnahmen
- Update auf fetchmail 5.8.6.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2019 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=386