—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2010-0562 – Heap-Overflow Schwachstelle in fetchmail
Die Funktion sdump() in der Datei “sdump.c” enthaelt in fetchmail eine
Schwachstelle bei der Ausgabe von Subject und Issuer eines
X.509-Zertifikats, sofern fetchmail im Verbose-Modus auf einer
Plattform laeuft, auf der der Datentyp “char” ein Vorzeichen enthaelt.
Beinhaltet das X.509-Zertifikat nicht-druckbare Zeichen, bei denen das
hoechstwertige Bit gesetzt ist, kann ein Heap-Overflow ausgeloest
werden. Ein entfernter Angreifer kann dies ausnutzen um einen
Denial-of-Service Angriff durchzufuehren oder moeglicherweise beliebigen
Code mit den Rechten des Benutzers auszufuehren.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket fetchmail
Fedora 12
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2010-March/036632.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Detlev O. Matthies
– —
Detlev O. Matthies, M.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-3800
2010-03-06 02:57:32
– ——————————————————————————–
Name : fetchmail
Product : Fedora 12
Version : 6.3.11
Release : 4.fc12
URL : http://fetchmail.berlios.de/
Summary : A remote mail retrieval and forwarding utility
Description :
Fetchmail is a remote mail retrieval and forwarding utility intended
for use over on-demand TCP/IP links, like SLIP or PPP connections.
Fetchmail supports every remote-mail protocol currently in use on the
Internet (POP2, POP3, RPOP, APOP, KPOP, all IMAPs, ESMTP ETRN, IPv6,
and IPSEC) for retrieval. Then Fetchmail forwards the mail through
SMTP so you can read it through your favorite mail client.
Install fetchmail if you need to retrieve mail over SLIP or PPP
connections.
– ——————————————————————————–
Update Information:
The updated package fixes CVE-2010-0562.
– ——————————————————————————–
ChangeLog:
* Tue Feb 9 2010 Vitezslav Crhonek
– – Fix CVE-2010-0562
– ——————————————————————————–
References:
[ 1 ] Bug #561839 – CVE-2010-0562 fetchmail: (verbose mode) Heap overflow by formating byte string into its printable representation
https://bugzilla.redhat.com/show_bug.cgi?id=561839
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update fetchmail’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFLlN2xWmhIvjFb90URArUFAJ9Mly1DuSqQd07uXJ8pnUXf9HS56ACeOGP0
kX0fGbaBBICKheLtfkEoGAM=
=6m49
—–END PGP SIGNATURE—–
