Buffer Overflow en Eudora

El envío de ficheros anexados puede acarrear buffer overflow
en Eudora. El desbordamiento se produce cuando se reciben ficheros
cuyos nombres superen la longitud permitida por Windows.
El error se produce exactamente, en los clientes de correo Eudora
4.1, al recibir dos mensajes que contengan un fichero anexado cuyo
nombre posea al menos 231 caracteres. El número viene establecido
por la longitud máxima que Windows puede manejar, que se sitúa en
259 caracteres.

A la longitud del nombre del fichero anexado hay que sumarle los 31
caracteres de la trayectoria donde Windows lo almacena:
“C:\Program Files\Eudora\Attach\”. La suma de la trayectoria junto
con el nombre del fichero anexado, 31+231, supera el máximo
permitido por Windows.

Este problema ya fue detectado el año pasado en la versión 4.0 de
Eudora, y corregido en la 4.1. Para subsanar el error lo que hace
el cliente de correo es truncar el nombre del fichero a 259
caracteres cuando supera el máximo establecido.

Si vuelve a recibir un segundo correo, donde se anexa de nuevo el
mismo fichero, Eudora volverá a truncar el nombre a los 259
caracteres. Cuando a continuación vaya a proceder a escribir el
fichero en el disco duro detecta que ya existe un archivo con la
misma denominación, es entonces cuando añade el carácter “1” al
final del nombre para no reemplazar el fichero anterior. Este
añadido, 259+1, provoca que se supere el máximo establecido,
produciéndose el buffer overflow.

Para probar el overflow podemos proceder a enviarnos a nosotros
mismos un email con un fichero anexado cuyo nombre supere la
longitud anteriormente comentada. A continuación reenviamos el
mismo mensaje y chequeamos nuestro correo, podremos observar como
al recibirlo el cliente se desborda. Hasta la fecha no existe
parche para este problema que ha sido detectado bajo plataformas
Windows 95 y NT, así como en la la versión beta 4.2 de Eudora.

Más información:
http://enext.dyndns.org/~whiz/exploits/byme/eudora41.txt