发布日期：2005-10-28
更新日期：2005-10-28

受影响系统：

fetchmail fetchmail 6.2.5.2
fetchmail fetchmail 6.2.5
fetchmail fetchmail 6.2.0
fetchmail fetchmailconf 1.43.1
fetchmail fetchmailconf 1.43

不受影响系统：

fetchmail fetchmail 6.3.0
fetchmail fetchmail 6.2.9-rc6
fetchmail fetchmailconf 1.49
fetchmail fetchmailconf 1.43.2

描述：

---

CVE(CAN) ID: CVE-2005-3088

fetchmail是用于从远程POP2、POP3、IMAP、ETRN或ODMR服务器检索邮件并将其转发给本地SMTP、LMTP服务器或消息传输代理的软件包。

fetchmailconf工具程序写配置文件的方式存在漏洞，本地攻击者可能利用此漏洞获取访问口令。

fetchmailconf默认的行为是写出短期内完全可读的配置文件。在fetchmailconf设置安全的权限之前，这个配置文件可能在很短的窗口中为本地恶意攻击者提供口令。

<*来源：Matthias Andree （matthias.andree@gmx.de）
        Thomas Wolff
        Miloslav Trmac
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=113042785902031&w=2
        http://lwn.net/Alerts/157170/?format=printable
*>

建议：

---

厂商补丁：

RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2005:823-01）以及相应补丁:
RHSA-2005:823-01：Low: fetchmail security update
链接：http://lwn.net/Alerts/157170/?format=printable

fetchmail
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://developer.berlios.de/project/showfiles.php?group_id=1824&release_id=6617
https://developer.berlios.de/project/showfiles.php?group_id=1824

浏览次数：2838
严重程度：0（网友投票）