|
Fetchmail SSL证书显示远程堆溢出漏洞
发布日期:2010-02-04
更新日期:2010-02-05
受影响系统:Eric Raymond Fetchmail 6.3.x 不受影响系统:Eric Raymond Fetchmail 6.3.14 描述:
BUGTRAQ ID: 38088
CVE ID: CVE-2010-0562
Fetchmail是免费的软件包,可以从远程POP2、POP3、IMAP、ETRN或ODMR服务器检索邮件并将其转发给本地SMTP、LMTP服务器或消息传送代理。
以verbose模式运行的fetchmail会向用户显示X.509证书的标题和发布者信息,为此要计算并分配一个malloc()缓冲区。如果所要显示的内容包含有设置了高位的字符且平台将char类型设置为有符型,由于不可打印字符转义为了\xFF..FFnn(nn为十六进制的80..FF),这可能会在sdump.c文件的sdump()函数中触发堆溢出,导致执行任意代码。
<*来源:Matthias Andree (matthias.andree@gmx.de)
链接:http://secunia.com/advisories/38391/
http://www.fetchmail.info/fetchmail-SA-2010-01.txt
http://security.gentoo.org/glsa/201006-12.xml
*>
建议:
厂商补丁:
Eric Raymond
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://developer.berlios.de/project/showfiles.php?group_id=1824
Gentoo
------
Gentoo已经为此发布了一个安全公告(GLSA 201006-12)以及相应补丁:
GLSA 201006-12:Fetchmail: Multiple vulnerabilities
链接:http://security.gentoo.org/glsa/201006-12.xml
所有Fetchmail用户都应升级到最新版本:
# emerge --sync
# emerge --ask --oneshot --verbose ">=3Dnet-mail/fetchmail-6.3.14"
浏览次数:410
严重程度:0(网友投票)
|
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
