Eric S. Raymond Fetchmail信息统计IMAP远程缓冲区溢出漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1204342 漏洞类型 输入验证
发布时间 2002-05-21 更新时间 2005-05-02
CVE编号 CVE-2002-0146 CNNVD-ID CNNVD-200206-075
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200206-075
|漏洞详情
Fetchmail是一款由EricS.Raymond维护的免费开放源代码邮件客户端。Fetchmail在对信息索引统计处理时存在漏洞,可导致远程攻击者进行缓冲溢出攻击。当Fetchmail接收来自IMAP服务器的邮件时,客户端会分配数组来存储它要获取的信息,而分配的数组大小由服务器决定,fetchmail5.9.10版本之前的程序没有检查IMAP服务器提供的数字是否过高,攻击者可以伪造恶意服务器信息导致Fetchmail进程破坏数组边界造成缓冲区溢出,精心提供服务器响应信息可导致以Fetchmail进程的权限在目标系统上执行任意指令。
|参考资料

来源:REDHAT
名称:RHSA-2002:047
链接:http://www.redhat.com/support/errata/RHSA-2002-047.html
来源:BID
名称:4788
链接:http://www.securityfocus.com/bid/4788
来源:MANDRAKE
名称:MDKSA-2002:036
链接:http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-036.php
来源:XF
名称:fetchmail-imap-msgnum-bo(9133)
链接:http://www.iss.net/security_center/static/9133.php
来源:HP
名称:HPSBTL0205-042
链接:http://online.securityfocus.com/advisories/4145
来源:CALDERA
名称:CSSA-2002-027.0
链接:ftp://ftp.caldera.com/pub/security/OpenLinux/CSSA-2002-027.0.txt