 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 26 mars 2007
No CERTA-2007-AVI-020-003 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Fetchmail
Tableau 1: Gestion du document
| Référence |
CERTA-2007-AVI-020-003 |
| Titre |
Multiples
vulnérabilités dans Fetchmail |
| Date de la première
version |
10 janvier 2007 |
| Date de la dernière
version |
26 mars 2007 |
| Source(s) |
Bulletins de
sécurité Fetchmail SA-2006-02 et
SA-2006-03 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Déni de service à distance ;
- atteinte à la confidentialité des
données.
Fetchmail versions 6.3.5 et antérieures.
Plusieurs vulnérabilités dans Fetchmail
permettent à un utilisateur distant de provoquer un
déni de service ou de porter atteinte à la
confidentialité de données de connexions.
Deux vulnérabilités sont présentes dans
l'utilitaire de reccupération de mail Fetchmail
:
- la première vulnérabilité est de
type «pointeur nul» et permet à un
utilisateur distant de provoquer un arrêt
inopiné du service par le biais d'un message construit
de façon particulière ;
- la deuxième vulnérabilité concerne
un ensemble d'erreurs dans la mise en œuvre d'un
certain nombre de systèmes d'authentification. Ces
erreurs permettraient à un utilisateur distant de
forcer Fetchmail à envoyer les données
de connexions comme les mots de passe en clair plutôt
qu'en chiffré comme indiqué dans son fichier de
configuration.
La version 6.3.6 de Fetchmail corrige le
problème :
http://fetchmail.berlios.de
- 10 janvier 2007
- version initiale.
- 29 janvier 2007
- ajout des références aux bulletins de
sécurité Gentoo, Mandriva et Ubuntu.
- 02 février 2007
- ajout de la référence au bulletin de
sécurité RedHat.
- 26 mars 2007
- ajout des références aux bulletins de
sécurité Debian et SuSE.
CERTA
2012-01-04
|
|
)
