VulDB: Fetchmail bis 6.3.2 Bouncing-Nachricht fehlerhafter Pointer Denial of Service
Allgemein
scipID: 1998
Betroffen: Fetchmail bis 6.3.2
Veröffentlicht: 23.01.2006 ()
Risiko: 
problematisch
Beschreibung
Fetchmail von Eric S. Raymond ist ein ein Utility für Unix-Systeme, mit dem Emails abgeholt und für die lokale Betrachtung vorbereitet werden können. Es wird aufgrund seiner Einfachheit und Schlichtheit gerne von Puristen eingesetzt, die nicht viel mit grafischen Oberflächen und pompösen Mail-Clients anfangen können. Es wurde nun berichtet, dass eine Bouncing-Nachricht bei einem fehlerhaften Pointer eine Denial of Service verursachen kann. Technische Details oder ein Exploit sind nicht bekannt. Der Fehler wurde aktuellen Releases behoben.
Obschon sich fetchmail auch heute noch grösster Beliebtheit unter Puristen erfreut, wird diese Angriffsmöglichkeit aufgrund der Restriktionen keinen Platz im Olymp der populärsten Angriffsmethoden erhaschen können. Wer fetchmail gut und gerne einsetzt sowie auf dessen Funktionalität angewiesen ist, sollte eine aktuelle Version einspielen, um Skript-Kiddies keine Möglichkeit für ihre Spässchen zu geben.
Exploiting
Klasse: Denial of Service
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: 21533 (Name: FreeBSD : fetchmail — crash when bouncing a message (2438)
ATK: –
Gegenmassnahmen
Status: Es ist eine aktualisierte Software-Version verfügbar.
Bestätigung: http://fetchmail.berlios.de/fetchmail-SA-2006-01.txt
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://developer.berlios.de/project/showfiles.php?group_id=1824
Snort: –
Pattern: –
Quellen
Advisory: http://fetchmail.berlios.de/fetchmail-SA-2006-01.txt
CVE: CVE-2006-0321
OSVDB: 22691
Securityfocus: 16365
Secunia: 18571
X-Force: 24265
Securitytracker: 1015527
VUPEN: ADV-2006-0300
Securiteam: –
Tecchannel: –
Heise: –
smSS: –
Buchtipp: Brian Hatch, James Lee, George Kurtz und Anne Carasik (2002), Das Anti-Hacker-Buch für Linux, mitp, ISBN 3826606698 (amazon.de)
