Debianin tietoturvatiedote

DSA-071-1 fetchmail -- muistin turmeleminen

Ilmoitettu:

10. 8.2001

Vaikutuksen alaiset paketit:

Altis:

Kyllä

Viittaukset tietoturvatietokantoihin:

Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 3164, BugTraq-tunniste 3166.
Mitren CVE-sanakirjassa: CVE-2001-1009.

Lisätietoa:

Salvatore Sanfilippo löysi turvatarkastusta tehdessään ongelman fetchmailista, jota voidaan hyväksikäyttää etäkoneelta. Sekä IMAP- että POP3-koodit eivät tarkista syötettään ja tallentavat tällaisen numeron taulukkoon. Koska taulukon rajoja ei tarkisteta, hyökkääjä voi käyttää tätä kirjoittamaan mielivaltaista tietoa muistiin. Tämä ongelma voi tulla esiin jos käyttäjä siirtää postiaan räätälöidyltä IMAP- tai POP3-palvelimelta, jota hyökkääjä hallitsee.

Tämä on korjattu versiossa 5.3.3-3. Suosittelemme fetchmail-paketin päivitystä välittömästi.

Korjattu:

Debian GNU/Linux 2.2 (potato)

Lähde:: http://security.debian.org/dists/stable/updates/main/source/fetchmail_5.3.3-3.diff.gz; http://security.debian.org/dists/stable/updates/main/source/fetchmail_5.3.3-3.dsc; http://security.debian.org/dists/stable/updates/main/source/fetchmail_5.3.3.orig.tar.gz
Arkkitehtuuririippumaton komponentti:: http://security.debian.org/dists/stable/updates/main/binary-all/fetchmailconf_5.3.3-3_all.deb
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/fetchmail_5.3.3-3_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/fetchmail_5.3.3-3_arm.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/fetchmail_5.3.3-3_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/fetchmail_5.3.3-3_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/fetchmail_5.3.3-3_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/fetchmail_5.3.3-3_sparc.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.