VulDB: Fetchmail bis 6.3.5 TLS fehlende Verschlüsselung
Allgemein
scipID: 2802
Betroffen: Fetchmail bis 6.3.5
Veröffentlicht: 08.01.2007 (Isaac Wilcox)
Risiko: 
problematisch
Beschreibung
Fetchmail von Eric S. Raymond ist ein ein Utility für Unix-Systeme, mit dem Emails abgeholt und für die lokale Betrachtung vorbereitet werden können. Es wird aufgrund seiner Einfachheit und Schlichtheit gerne von Puristen eingesetzt, die nicht viel mit grafischen Oberflächen und pompösen Mail-Clients anfangen können. Unter gewissen Umständen könne es vorkommen, dass trotz TLS-Kommunikation auf einen verschlüsselten Datenaustausch verzichtet wird. Es technische Details im Advisory festgehalten worden. Ein Exploit ist hingegen nicht bekannt. Der Fehler wurde in der Version 6.3.5 der Software behoben.
Obschon sich fetchmail auch heute noch grösster Beliebtheit unter Puristen erfreut, wird diese Angriffsmöglichkeit aufgrund der Restriktionen keinen Platz im Olymp der populärsten Angriffsmethoden erhaschen können. Wer fetchmail gut und gerne einsetzt sowie auf dessen Funktionalität angewiesen ist, sollte eine aktuelle Version einspielen, um Skript-Kiddies keine Möglichkeit für ihre Spässchen zu geben.
Exploiting
Klasse: Fehlende Verschlüsselung
Lokal: Ja
Remote: Unbekannt
Exploit: http://fetchmail.berlios.de/fetchmail-SA-2006-02.txt
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Es ist eine aktualisierte Software-Version verfügbar.
Bestätigung: –
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://developer.berlios.de/project/showfiles.php?group_id=1824
Snort: –
Pattern: –
Quellen
Advisory: http://fetchmail.berlios.de/fetchmail-SA-2006-02.txt
CVE: CVE-2006-5867
OSVDB: –
Securityfocus: –
Secunia: 23631
X-Force: –
Securitytracker: –
VUPEN: –
Securiteam: –
Tecchannel: –
Heise: –
smSS: –
Buchtipp: Marc Ruef (2007), Die Kunst des Penetration Testing, C&L Verlag, ISBN 3936546495 (amazon.de)
