[Tech] (Grosso) Problema con fetchmail

Gianni Bianchini giannibi@firenze.linux.it
Dom 17 Giu 2001 00:48:36 CEST


Scusate, mi autorispondo ma e' in tema e importante (a volte ho la netta
impressione di portare una sfiga tremenda :) ).

> > Faccio partire fetchmail da root, che controlli 3-4 account di posta,
> > scaricandola e trasferendola agl'utenti locali di una redhat, pronta x
> > essere letta tramite IMAP.
> 
> e' pericoloso usarlo da root,

Per l'appunto fetchmail e' bacato. Nelle condizioni di cui sopra potrebbe
essere possibile ottenere accesso root non autorizzato da remoto (o
comunque accesso come utente che gira fetchmail).
Cito _parte_ dell'advisory di Debian passato su bugtraq, vedi
archivio su http://www.securityfocus.com

------------
DSA-060-1: fetchmail
Published: Sat Jun 16 2001
Updated: Sat Jun 16 2001 

Package        : fetchmail
Problem type   : buffer overflow
Debian-specific: no

Wolfram Kleff found a problem in fetchmail: it would crash when
processing emails with extremely long headers. The problem was
a buffer overflow in the header parser which could be exploited.

This has been fixed in version 5.3.3-1.3, and we recommend that
you upgrade your fetchmail package immediately.
-----------

La versione 5.8.6 (o precedenti patchate) risolve il problema.
Cfr. http://www.tuxedo.org/~esr/fetchmail/NEWS

Ciao.
Gianni.


--
   Gianni Bianchini - giannibi@firenze.linux.it
                      giannibi@iname.com





Maggiori informazioni sulla lista flug-tech