发布日期：2007-01-06
更新日期：2007-01-09

受影响系统：

Eric Raymond Fetchmail <= 6.3.5
Eric Raymond Fetchmail 6.3.6-rc2
Eric Raymond Fetchmail 6.3.6-rc1

不受影响系统：

Eric Raymond Fetchmail 6.3.6

描述：

---

BUGTRAQ  ID: 21902
CVE(CAN) ID: CVE-2006-5974

Fetchmail是免费的软件包，可以从远程POP2、POP3、IMAP、ETRN或ODMR服务器检索邮件并将其转发给本地SMTP、LMTP服务器或消息传送代理。

Fetchmail在处理畸形消息时存在漏洞，攻击者可能导致软件崩溃。

在通过mda选项将消息传送给消息传输代理时，如果拒绝了消息的话，就可能将空指针传送给ferror()和fflush()，导致Fetchmail崩溃。SMTP和LMTP传送模式不受影响。

<*来源：Matthias Andree （matthias.andree@gmx.de）
        Neil Hoggarth
  
  链接：http://secunia.com/advisories/23631/
        http://fetchmail.berlios.de/fetchmail-SA-2006-03.txt
*>

建议：

---

临时解决方法：

* 不要使用mda选项。

厂商补丁：

Eric Raymond
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://developer.berlios.de/project/showfiles.php?group_id=1824

浏览次数：2632
严重程度：0（网友投票）