Pileus Git - ~andy/fetchmail/blob - fetchmail-SA-2006-02.txt

   1 fetchmail-SA-2006-02: TLS enforcement problem/MITM attack/password exposure
   2
   3 Topics:         fetchmail cannot enforce TLS
   4
   5 Author:         Matthias Andree
   6 Version:        1.1
   7 Announced:      2007-01-04
   8 Type:           secret information disclosure
   9 Impact:         fetchmail can expose cleartext password over unsecure link
  10                 fetchmail may not detect man in the middle attacks
  11 Danger:         medium
  12 Credits:        Isaac Wilcox (bug report, testing, collaboration on fix)
  13 CVE Name:       CVE-2006-5867
  14 URL:            http://fetchmail.berlios.de/fetchmail-SA-2006-02.txt
  15 Project URL:    http://fetchmail.berlios.de/
  16
  17 Affects:        fetchmail releases <= 6.3.5
  18                 fetchmail release candidates 6.3.6-rc1, -rc2, -rc3
  19
  20 Not affected:   fetchmail release candidates 6.3.6-rc4, -rc5
  21                 fetchmail release 6.3.6
  22                 fetchmail release 6.3.7
  23
  24 Corrected:      2006-11-26 fetchmail 6.3.6-rc4
  25
  26
  27 0. Release history
  28 ==================
  29
  30 2006-11-16      v0.01 internal review draft
  31 2006-11-26      v0.02 revise failure cases, workaround, add acknowledgments
  32 2006-11-27      v0.03 add more vulnerabilities
  33 2007-01-04      v1.0  ready for release
  34 2007-02-18      v1.1  mention 6.3.7 that fixes two regressions
  35
  36
  37 1. Background
  38 =============
  39
  40 fetchmail is a software package to retrieve mail from remote POP2, POP3,
  41 IMAP, ETRN or ODMR servers and forward it to local SMTP, LMTP servers or
  42 message delivery agents.
  43
  44 fetchmail ships with a graphical, Python/Tkinter based configuration
  45 utility named "fetchmailconf" to help the user create configuration (run
  46 control) files for fetchmail.
  47
  48
  49 2. Problem description and Impact
  50 =================================
  51
  52 Fetchmail has had several nasty password disclosure vulnerabilities for
  53 a long time. It was only recently that these have been found.
  54
  55 V1. sslcertck/sslfingerprint options should have implied "sslproto tls1"
  56     in order to enforce TLS negotiation, but did not.
  57
  58 V2. Even with "sslproto tls1" in the config, fetches would go ahead
  59     in plain text if STLS/STARTTLS wasn't available (not advertised,
  60     or advertised but rejected).
  61
  62 V3. POP3 fetches could completely ignore all TLS options whether
  63     available or not because it didn't reliably issue CAPA before
  64     checking for STLS support - but CAPA is a requisite for STLS.
  65     Whether or not CAPAbilities were probed, depended on the "auth"
  66     option. (Fetchmail only tried CAPA if the auth option was not set at
  67     all, was set to gssapi, kerberos, kerberos_v4, otp, or cram-md5.)
  68
  69 V4. POP3 could fall back to using plain text passwords, even if strong
  70     authentication had been configured.
  71
  72 V5. POP2 would not complain if strong authentication or TLS had been
  73     requested.
  74
  75 This can cause eavesdroppers to obtain the password, depending on the
  76 authentication scheme that is configured or auto-selected, and
  77 subsequently impersonate somebody else when logging into the upstream
  78 server.
  79
  80
  81 3. Workaround
  82 =============
  83
  84 If your upstream offers SSLv3-wrapped service on a dedicated port,
  85 use   fetchmail --ssl --sslcertck --sslproto ssl3   on the command line,
  86 or equivalent in the run control file.  This encrypts the whole session.
  87
  88
  89 4. Solution
  90 ===========
  91
  92   The earlier recommendation to install 6.3.6 is hereby updated, since
  93   version 6.3.6 introduced two new regressions fixed in 6.3.7: one broke
  94   KPOP altogether and one broke the automatic POP3 retries without TLS
  95   if a server advertised TLS but then closed the connection and TLS
  96   wasn't enforced.
  97
  98 Download and install fetchmail 6.3.7 or a newer stable release from
  99 fetchmail's project site at
 100 <http://developer.berlios.de/project/showfiles.php?group_id=1824>.
 101
 102
 103 5. Acknowledgments
 104 ==================
 105
 106 Isaac Wilcox has been a great help with testing the fixes and getting
 107 them right.
 108
 109
 110 A. Copyright, License and Warranty
 111 ==================================
 112
 113 (C) Copyright 2007 by Matthias Andree, <matthias.andree@gmx.de>.
 114 Some rights reserved.
 115
 116 This work is licensed under the Creative Commons
 117 Attribution-NonCommercial-NoDerivs German License. To view a copy of
 118 this license, visit http://creativecommons.org/licenses/by-nc-nd/2.0/de/
 119 or send a letter to Creative Commons; 559 Nathan Abbott Way;
 120 Stanford, California 94305; USA.
 121
 122 THIS WORK IS PROVIDED FREE OF CHARGE AND WITHOUT ANY WARRANTIES.
 123 Use the information herein at your own risk.
 124
 125 END OF fetchmail-SA-2006-02.txt