[Generic/fetchmail] Buffer overflow im Header-Parser
(2001-06-15 17:10:20+00)
Quelle:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=100394
In dem Code, der die Kopfzeilen (headers) von E-Mail-Nachrichten im Internet-Format analysiert, ist ein buffer overflow bug enthalten.
Betroffene Systeme
- Systeme, die
fetchmail
in Versionen vor 5.8.6 verwenden.
Einfallstor
Mail, die mit fetchmail
abgeholt wird.
Auswirkung
Kompromittierung des Accounts, unter dem fetchmail
läuft, bzw. denial of service bei unbeabsichtigter Auslösung der Schwachstelle.
Typ der Verwundbarkeit
buffer overflow bug
Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Bei der Analyse des Inhaltes der To:
-Zeile arbeitet fetchmail
mit einem Puffer fester Länge. Falls eine Nachricht mit einer überlangen To:
-Zeile angetroffen wird (wie sie beispielsweise bei Spam-Mail üblich sind), bricht fetchmail
die Ausführung ab; weitere Mail wird nicht zugestellt. Ferner kann ein Angreifer, der die To:
-Zeile geschickt wählt, wahrscheinlich den Account kompromittieren, unter dem fetchmail
läuft, und so zumindest an das Mailbox-Paßwort gelangen.
Gegenmaßnahmen
- Update auf fetchmail 5.8.6.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=386