Pileus Git - ~andy/fetchmail/blob - fetchmail-SA-2005-02.txt

   1 fetchmail-SA-2005-02: security announcement
   2
   3 Topic:          password exposure in fetchmailconf
   4
   5 Author:         Matthias Andree
   6 Version:        1.03
   7 Announced:      2005-10-21
   8 Type:           insecure creation of file
   9 Impact:         passwords are written to a world-readable file
  10 Danger:         medium
  11 Credits:        Thomas Wolff, Miloslav Trmac for pointing out
  12                 that fetchmailconf 1.43.1 was also flawed
  13 CVE Name:       CVE-2005-3088
  14 URL:            http://fetchmail.berlios.de/fetchmail-SA-2005-02.txt
  15
  16 Affects:        fetchmail version 6.2.5.2
  17                 fetchmail version 6.2.5
  18                 fetchmail version 6.2.0
  19                 fetchmailconf 1.43   (shipped with 6.2.0, 6.2.5 and 6.2.5.2)
  20                 fetchmailconf 1.43.1 (shipped separately, now withdrawn)
  21                 (other versions have not been checked but are presumed affected)
  22
  23 Not affected:   fetchmailconf 1.43.2 (use this for fetchmail-6.2.5.2)
  24                 fetchmail 6.2.5.4
  25                 fetchmail 6.3.0
  26
  27 Corrected:      2005-09-28 01:14 UTC (SVN) - committed bugfix (r4351)
  28                 2005-10-21                 - released fetchmailconf-1.43.2
  29                 2005-11-13                 - released fetchmail 6.2.5.4
  30                 2005-11-30                 - released fetchmail 6.3.0
  31
  32 0. Release history
  33 ==================
  34
  35 2005-10-21      1.00 - initial version (shipped with -rc6)
  36 2005-10-21      1.01 - marked 1.43.1 vulnerable
  37                      - revised section 4
  38                      - added Credits
  39 2005-10-27      1.02 - reformatted section 0
  40                      - updated CVE Name to new naming scheme
  41 2005-12-08      1.03 - update version information and solution
  42
  43 1. Background
  44 =============
  45
  46 fetchmail is a software package to retrieve mail from remote POP2, POP3,
  47 IMAP, ETRN or ODMR servers and forward it to local SMTP, LMTP servers or
  48 message delivery agents.
  49
  50 fetchmail ships with a graphical, Python/Tkinter based configuration
  51 utility named "fetchmailconf" to help the user create configuration (run
  52 control) files for fetchmail.
  53
  54 2. Problem description and Impact
  55 =================================
  56
  57 The fetchmailconf program before and excluding version 1.49 opened the
  58 run control file, wrote the configuration to it, and only then changed
  59 the mode to 0600 (rw-------). Writing the file, which usually contains
  60 passwords, before making it unreadable to other users, can expose
  61 sensitive password information.
  62
  63 3. Workaround
  64 =============
  65
  66 Run "umask 077", then run "fetchmailconf" from the same shell. After
  67 fetchmailconf has finished, you can restore your old umask.
  68
  69 4. Solution
  70 ===========
  71
  72 Download and install fetchmail 6.3.0 or a newer stable release from
  73 fetchmail's project site at
  74 <http://developer.berlios.de/project/showfiles.php?group_id=1824&release_id=6617>.
  75
  76 A. References
  77 =============
  78
  79 fetchmail home page: <http://fetchmail.berlios.de/>
  80
  81 B. Copyright, License and Warranty
  82 ==================================
  83
  84 (C) Copyright 2005 by Matthias Andree, <matthias.andree@gmx.de>.
  85 Some rights reserved.
  86
  87 This work is licensed under the Creative Commons
  88 Attribution-NonCommercial-NoDerivs German License. To view a copy of
  89 this license, visit http://creativecommons.org/licenses/by-nc-nd/2.0/de/
  90 or send a letter to Creative Commons; 559 Nathan Abbott Way;
  91 Stanford, California 94305; USA.
  92
  93 THIS WORK IS PROVIDED FREE OF CHARGE AND WITHOUT ANY WARRANTIES.
  94 Use the information herein at your own risk.
  95
  96 END OF fetchmail-SA-2005-02.txt