Vigil@nce : fetchmail, déni de service en mode verbose
juin 2008 par Vigil@nce
SYNTHÈSE
Lorsque fetchmail est utilisé en mode verbose, un attaquant peut
créer un message trop long afin de le stopper.
Gravité : 1/4
Conséquences : déni de service du service
Provenance : document
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : faible (1/3)
Date création : 18/06/2008
Référence : VIGILANCE-VUL-7900
PRODUITS CONCERNÉS
– Unix - plateforme
DESCRIPTION
Le programme fetchmail télécharge des emails depuis un serveur POP
ou IMAP et les délivre selon sa configuration.
Lorsque fetchmail est utilisé en mode verbose (-vv ou -vvv), il
réécrit les entêtes. Cependant, si la taille de l’entête dépasse
2048 caractères, une erreur de produit et stoppe fetchmail.
Un attaquant peut donc créer un email illicite afin de créer un
déni de service lors de son téléchargement en mode verbose.
CARACTÉRISTIQUES
Références : 354291, CVE-2008-2711, fetchmail-SA-2007-02,
fetchmail-SA-2008-01, VIGILANCE-VUL-7900