martes, 24 de diciembre de 2002

Vulnerabilidad en Fetchmail

Las versiones no actualizadas de fetchmail contienen un desbordamiento
de búfer que permite la ejecución de código arbitrario, con los
privilegios del usuario bajo el que se ejecuta el proceso.

Fetchmail es una utilidad de los sistema UNIX, que permite a un cliente
la descarga de correo electrónico de los servidores a través de multitud
de protocolos de correo, como POP2, POP3 o IMAP.

Las versiones de fetchmail previas e incluida a la 6.1.3 contienen un
desbordamiento de búfer que permite que un atacante remoto mate el
proceso o consiga ejecutar código arbitrario en la máquina, con los
privilegios del usuario bajo el que se ejecuta fetchmail. El atacante
tan solo necesita enviar a la víctima un mensaje con las cabeceras
formateadas apropiadamente.

La vulnerabilidad reside en una optimización de fetchmail, que intenta
reutilizar memoria dinámica a medida que va procesando las cabeceras,
para mejorar el rendimiento. Lamentablemente dicha gestión es
incorrecta, y permite sobreescribir memoria reservada vía "malloc()" lo
que puede ocasionar la caída del servicio o la ejecución de código
arbitrario, según el sistema operativo, las librerías que se usen y la
suerte (y malicia) del atacante.

La recomendación es que todos los usuarios de fetchmail se actualicen
cuanto antes a la versión 6.2.0, ya disponible.


Jesús Cea Avión
jcea@hispasec.com


Más información:

The fetchmail Home Page
http://tuxedo.org/~esr/fetchmail/

Advisory 05/2002
Fetchmail remote vulnerability
http://security.e-matters.de/advisories/052002.html

Fetchmail Remote Vulnerability (Localhost @)
http://www.securiteam.com/unixfocus/6Q00F1F6AE.html

Fetchmail remote heap overflow
http://www.securitybugware.org/Linux/5877.html