Fetchmail调试模式远程拒绝服务漏洞

受影响系统:

Eric Raymond Fetchmail 4.6.3 – 6.3.16

不受影响系统:

Eric Raymond Fetchmail 6.3.17

描述:

Fetchmail是免费的软件包,可以从远程POP2、POP3、IMAP、ETRN或ODMR服务器检索邮件并将其转发给本地SMTP、LMTP服务器或消息传送代理。

在调试模式(-v -v)中,fetchmail会打印从上级服务器(POP3 UIDL列表)或服务器中所检索到消息头所获得的信息。如果打印消息失败,例如信息(消息头)中包含有无效的多字节字符序列,fetchmail会错误的解释这种情况,认为缓冲区过小,并重新分配更大的缓冲区(线性增加缓冲区大小)。如此多次反复后就会导致分配失败,fetchmail会终止。

<*来源:Matthias Andree (matthias.andree@gmx.de
  
  链接:
http://www.fetchmail.info/fetchmail-SA-2010-02.txt
*>

建议:

临时解决方法:

* 最多只以一个-v(–verbose)选项运行fetchmail。

厂商补丁:

Eric Raymond
————
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.fetchmail.info/fetchmail-SA-2010-02.txt

发表评论?

0 条评论。

发表评论