发布日期：2008-06-13
更新日期：2008-06-18

受影响系统：

fetchmail fetchmail < 6.3.9

不受影响系统：

fetchmail fetchmail 6.3.9

描述：

---

BUGTRAQ  ID: 29705
CVE(CAN) ID: CVE-2008-2711

Fetchmail是免费的软件包，可以从远程POP2、POP3、IMAP、ETRN或ODMR服务器检索邮件并将其转发给本地SMTP、LMTP服务器或消息传送代理。

Fetchmail在处理消息时存在内存访问错误，以-v -v verbose级别运行的fetchmail在试图打印超过2048字节的头时会重新调整缓冲区大小并填充消息的多出部分，但没有重新初始化其va_list类型的源指针，因此可能会在栈上的无效地址读取数据，导致出现分段错误而崩溃。

<*来源：Matthias Andree （matthias.andree@gmx.de）
  
  链接：http://marc.info/?l=bugtraq&m=121371575710374&w=2
        http://permalink.gmane.org/gmane.comp.security.oss.general/535
        https://bugzilla.novell.com/show_bug.cgi?format=multiple&id=354291
        http://secunia.com/advisories/30742/
*>

建议：

---

临时解决方法：

* 以低verbosity运行fetchmail，不要使用两个或三个-v参数。

厂商补丁：

fetchmail
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://developer.berlios.de/patch/?func=detailpatch&patch_id=2492&group_id=1824

浏览次数：2399
严重程度：0（网友投票）