—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2011-1947 – Schwachstelle in Fetchmail ab Version 5.9.9 bis
einschliesslich 6.3.19
In Fetchmail ab Version 5.9.9 bis einschliesslich 6.3.19 wird nach einem
(1) STARTTLS oder (2) STLS Request kein Zeitlimit fuer Antworten
gesetzt; wird ein Request bestaetigt (ack) aber keine weiteren Pakete
gesandt, kann die Anwendung zum Stillstand gebracht werden. Ein
entfernter Angreifer kann diese Schwachstelle fuer einen Denial of
Service ausnutzen.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket fetchmail
Fedora 13
Fedora 14
Fedora 15
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Detlev O. Matthies
– —
Detlev O. Matthies, M.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-8011
2011-06-08 23:32:49
– ——————————————————————————–
Name : fetchmail
Product : Fedora 15
Version : 6.3.20
Release : 1.fc15
URL : http://fetchmail.berlios.de/
Summary : A remote mail retrieval and forwarding utility
Description :
Fetchmail is a remote mail retrieval and forwarding utility intended
for use over on-demand TCP/IP links, like SLIP or PPP connections.
Fetchmail supports every remote-mail protocol currently in use on the
Internet (POP2, POP3, RPOP, APOP, KPOP, all IMAPs, ESMTP ETRN, IPv6,
and IPSEC) for retrieval. Then Fetchmail forwards the mail through
SMTP so you can read it through your favorite mail client.
Install fetchmail if you need to retrieve mail over SLIP or PPP
connections.
– ——————————————————————————–
Update Information:
This update fixes CVE-2011-1947.
– ——————————————————————————–
ChangeLog:
* Tue Jun 7 2011 Vitezslav Crhonek
– – Update to fetchmail-6.3.20
* Thu Jun 2 2011 Vitezslav Crhonek
– – Fix CVE-2011-1947
– ——————————————————————————–
References:
[ 1 ] Bug #709284 – CVE-2011-1947 fetchmail: Application hang due unguarded blocking I/O in IMAP/POP3 STARTTLS initialization (fetchmail-SA-2011-01)
https://bugzilla.redhat.com/show_bug.cgi?id=709284
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update fetchmail’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)
iQEcBAEBAgAGBQJOAefdAAoJEJtyb8U7iGZBUoYH/3JqtjwwG6Bb7thcGu2rgLTb
a6AS08M43VKtmUJ8D0I/0TvEd/G6nqTWQzGU8Lr+veNZGY+zsWdapW4Y9Q3MdY0l
IqKZRxcqfZSMVmXjek6buk+e+FHOYB9d0SsWAaXtRcDv6aVWTOiPMztmryBtcrt1
wqDO/vAf+QyHSXGs87I/S3dalrs73Uw0krVuhYdMirS/duPK0SxmvGuSU+Tg9zgy
RMYj+zKXfAjosAhLFasBtOu71lXkDYXClFsO7M1V9M9pifZL3Vqq1VCPT2yfusor
B4jo26lwEr4Rx/WH9S7Ab4JtkwFeLGkdYiNuyHGQFI8O4ccc+ku+Rw60CjDrliU=
=/PaK
—–END PGP SIGNATURE—–
