Vigil@nce : fetchmail, déni de service en mode debug
avril 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut envoyer un email contenant des caractères
multibytes, afin de stopper fetchmail en mode debug.
– Gravité : 1/4
– Date création : 19/04/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Le programme fetchmail télécharge des emails depuis un serveur POP
ou IMAP. Lorsque l’option -v (verbose) est précisée deux fois,
fetchmail passe en mode debug et affiche des informations
complémentaires.
Cependant, en mode debug, si un entête email contient un caractère
multibyte invalide, une boucle infinie se produit et fetchmail se
stoppe.
Un attaquant peut donc envoyer un email contenant des caractères
multibytes, afin de stopper fetchmail en mode debug.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/fetchmail-deni-de-service-en-mode-debug-9596