发布日期：2010-04-19
更新日期：2010-04-20

受影响系统：

Eric Raymond Fetchmail 4.6.3 - 6.3.16

不受影响系统：

Eric Raymond Fetchmail 6.3.17

描述：

---

BUGTRAQ  ID: 39556
CVE(CAN) ID: CVE-2010-1167

Fetchmail是免费的软件包，可以从远程POP2、POP3、IMAP、ETRN或ODMR服务器检索邮件并将其转发给本地SMTP、LMTP服务器或消息传送代理。

在调试模式（-v -v）中，fetchmail会打印从上级服务器（POP3 UIDL列表）或服务器中所检索到消息头所获得的信息。如果打印消息失败，例如信息（消息头）中包含有无效的多字节字符序列，fetchmail会错误的解释这种情况，认为缓冲区过小，并重新分配更大的缓冲区（线性增加缓冲区大小）。如此多次反复后就会导致分配失败，fetchmail会终止。

<*来源：Matthias Andree （matthias.andree@gmx.de）
  
  链接：http://www.fetchmail.info/fetchmail-SA-2010-02.txt
*>

建议：

---

临时解决方法：

* 最多只以一个-v（--verbose）选项运行fetchmail。

厂商补丁：

Eric Raymond
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.fetchmail.info/fetchmail-SA-2010-02.txt

浏览次数：2242
严重程度：0（网友投票）