发布日期：2007-01-06
更新日期：2007-01-09

受影响系统：

Eric Raymond Fetchmail <= 6.3.5
Eric Raymond Fetchmail 6.3.6-rc3
Eric Raymond Fetchmail 6.3.6-rc2
Eric Raymond Fetchmail 6.3.6-rc1

不受影响系统：

Eric Raymond Fetchmail 6.3.6

描述：

---

BUGTRAQ  ID: 21903
CVE(CAN) ID: CVE-2006-5867

Fetchmail是免费的软件包，可以从远程POP2、POP3、IMAP、ETRN或ODMR服务器检索邮件并将其转发给本地SMTP、LMTP服务器或消息传送代理。

Fetchmail在处理用户认证的加密方式时存在漏洞，远程攻击者可能利用此漏洞非授权获取认证数据。

即使已经配置为使用强加密，在很多情况下fetchmail仍可能会使用明文认证，这可能会导致泄漏口令信息。

<*来源：Matthias Andree （matthias.andree@gmx.de）
        Isaac Wilcox
  
  链接：http://fetchmail.berlios.de/fetchmail-SA-2006-02.txt
        http://secunia.com/advisories/23631/
*>

建议：

---

临时解决方法：

* 如果特定端口支持SSLv3加密的服务的话，在命令行使用fetchmail --ssl --sslcertck --sslproto ssl3。

厂商补丁：

Eric Raymond
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://developer.berlios.de/project/showfiles.php?group_id=1824

浏览次数：2655
严重程度：0（网友投票）