Pileus Git - ~andy/fetchmail/blob - fetchmail-SA-2006-01.txt

   1 fetchmail-SA-2006-01: crash when bouncing messages.
   2
   3 Topics:         #1 crash when bouncing a message
   4                 #2 fetchmail 6.2.5.X end of life
   5
   6 Author:         Matthias Andree
   7 Version:        XXX
   8 Announced:      XXX
   9 Type:           free() with bogus pointer
  10 Impact:         fetchmail crashes
  11 Danger:         low
  12 Credits:        Nathaniel W. Turner (bug report)
  13 CVE Name:       CVE-2006-0321
  14 URL:            http://fetchmail.berlios.de/fetchmail-SA-2006-01.txt
  15                 http://bugs.debian.org/348747
  16 Project URL:    http://fetchmail.berlios.de/
  17
  18 Affects:        fetchmail version 6.3.0
  19                 fetchmail version 6.3.1
  20
  21 Not affected:   fetchmail 6.3.2
  22                 fetchmail 6.2.5.5
  23                 other versions not mentioned here or in the previous
  24                 sections have not been checked
  25
  26 Corrected:      2006-01-19 fetchmail 6.3.2-rc4
  27
  28
  29 0. Release history
  30 ==================
  31
  32 2006-01-19      internal review draft
  33 2006-01-20      add CVE ID
  34
  35
  36 1. Background
  37 =============
  38
  39 fetchmail is a software package to retrieve mail from remote POP2, POP3,
  40 IMAP, ETRN or ODMR servers and forward it to local SMTP, LMTP servers or
  41 message delivery agents.
  42
  43 fetchmail ships with a graphical, Python/Tkinter based configuration
  44 utility named "fetchmailconf" to help the user create configuration (run
  45 control) files for fetchmail.
  46
  47
  48 2. Problem description and Impact
  49 =================================
  50
  51 Fetchmail contains a bug that causes itself to crash when bouncing a
  52 message to the originator or to the local postmaster. Fetchmail crashes
  53 when trying to free the dynamic array of failed addresses, and calls the
  54 free() function with an invalid pointer.
  55
  56 Note that such messages are not RFC-822 conformant, so if the server has
  57 not been tampered with, the server software is faulty.
  58
  59
  60 3. Workaround
  61 =============
  62
  63 None known at this time.
  64
  65
  66 4. Solution
  67 ===========
  68
  69 Download and install fetchmail 6.3.2 or a newer stable release from
  70 fetchmail's project site at
  71 <http://developer.berlios.de/project/showfiles.php?group_id=1824>.
  72
  73
  74 5. End of life announcement
  75 ===========================
  76
  77 The aged fetchmail 6.2.5.X branch is discontinued effective immediately.
  78 No further releases from the 6.2.5.X branch will be made.
  79
  80 The new 6.3.X stable branch has been available since 2005-11-30
  81 and will not change except for bugfixes, documentation and translations.
  82
  83
  84 A. Copyright, License and Warranty
  85 ==================================
  86
  87 (C) Copyright 2006 by Matthias Andree, <matthias.andree@gmx.de>.
  88 Some rights reserved.
  89
  90 This work is licensed under the Creative Commons
  91 Attribution-NonCommercial-NoDerivs German License. To view a copy of
  92 this license, visit http://creativecommons.org/licenses/by-nc-nd/2.0/de/
  93 or send a letter to Creative Commons; 559 Nathan Abbott Way;
  94 Stanford, California 94305; USA.
  95
  96 THIS WORK IS PROVIDED FREE OF CHARGE AND WITHOUT ANY WARRANTIES.
  97 Use the information herein at your own risk.
  98
  99 END OF fetchmail-SA-2006-01.txt