scip AG

• Firma
• News
• Dienstleistungen
• Publikationen

VulDB: Fetchmail bis 6.3.5 MDA-Option Fehler Denial of Service

Allgemein

scipID: 2801
Betroffen: Fetchmail bis 6.3.5
Veröffentlicht: 08.01.2007 (Neil Hoggarth)
Risiko: problematisch

Beschreibung

Fetchmail von Eric S. Raymond ist ein ein Utility für Unix-Systeme, mit dem Emails abgeholt und für die lokale Betrachtung vorbereitet werden können. Es wird aufgrund seiner Einfachheit und Schlichtheit gerne von Puristen eingesetzt, die nicht viel mit grafischen Oberflächen und pompösen Mail-Clients anfangen können. Über eine spezielle Email, die von fetchmail verarbeitet werden soll, kann ein Angreifer einen Denial of Service-Attacke hervorrufen. Das Problem besteht im Zusammenhang mit der MDA-Option und einer Bounce-Meldung. Es sind keine weiteren Details zur Sicherheitslücke oder ein Exploit bekannt. Der Fehler wurde in der Version 6.3.5 der Software behoben.

Obschon sich fetchmail auch heute noch grösster Beliebtheit unter Puristen erfreut, wird diese Angriffsmöglichkeit aufgrund der Restriktionen keinen Platz im Olymp der populärsten Angriffsmethoden erhaschen können. Wer fetchmail gut und gerne einsetzt sowie auf dessen Funktionalität angewiesen ist, sollte eine aktuelle Version einspielen, um Skript-Kiddies keine Möglichkeit für ihre Spässchen zu geben.

Exploiting

Klasse: Denial of Service
Lokal: Ja
Remote: Teilweise

Exploit: –
Milw0rm: –
Nessus: 27993 (Name: USN405-1 : fetchmail vulnerability
ATK: –

Gegenmassnahmen

Status: Es ist eine aktualisierte Software-Version verfügbar.
Bestätigung: https://issues.rpath.com/browse/RPL-919

Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://developer.berlios.de/project/showfiles.php?group_id=1824

Snort: –
Pattern: –

Quellen

Advisory: http://fetchmail.berlios.de/fetchmail-SA-2006-03.txt

CVE: CVE-2006-5867
OSVDB: 31580
Securityfocus: 21903
Secunia: 24174
X-Force: –
Securitytracker: 1017478
VUPEN: ADV-2007-0088
Securiteam: –

Tecchannel: –
Heise: –
smSS: –
Buchtipp: George Kurtz, Stuart McClure und Joel Scambray (2002), Das Anti-Hacker-Buch, mitp, ISBN 3826608453 (amazon.de)

Übersicht Schwachstellen

• Letzte Einträge
  • Cisco IOS TCP Connection Handling Denial of Service
  • Adobe ColdFusion Directory Traversal Schwachstelle
  • Microsoft Windows Tracing Feature for Services Privilege Escalation
  • Microsoft Windows MPEG Layer-3 Audio Decoder Pufferüberlauf
  • Microsoft Windows SMB Server verschiedene Schwachstellen
• Statistiken
  • Übersicht
  • Produkte
  • Reference Maps
• Archiv
  • 2010
  • 2009
  • 2008
  • 2007
  • 2006
  • 2005
  • 2004
  • 2003
• Syndication
  • Alert System
  • RSS
  • Twitter