Pileus Git - ~andy/fetchmail/blob - fetchmail-SA-2006-02.txt

   1 fetchmail-SA-2006-02: TLS enforcement problem/MITM attack/password exposure
   2
   3 Topics:         fetchmail cannot enforce TLS
   4
   5 Author:         Matthias Andree
   6 Version:        1.0
   7 Announced:      2006-11-XX
   8 Type:           secret information disclosure
   9 Impact:         fetchmail can expose cleartext password over unsecure link
  10                 fetchmail may not detect man in the middle attacks
  11 Danger:         medium
  12 Credits:        Isaac Wilcox (bug report, collaboration on fix)
  13 CVE Name:       CVE-2006-5867
  14 URL:            http://fetchmail.berlios.de/fetchmail-SA-2006-02.txt
  15 Project URL:    http://fetchmail.berlios.de/
  16
  17 Affects:        fetchmail releases <= 6.3.5
  18                 fetchmail release candidate 6.3.6-rc1
  19
  20 Not affected:   fetchmail release candidate 6.3.6-rc2
  21                 fetchmail release 6.3.6
  22
  23 Corrected:      2006-11-12 fetchmail 6.3.6-rc2
  24
  25
  26 0. Release history
  27 ==================
  28
  29 2006-11-12      internal review draft
  30
  31
  32 1. Background
  33 =============
  34
  35 fetchmail is a software package to retrieve mail from remote POP2, POP3,
  36 IMAP, ETRN or ODMR servers and forward it to local SMTP, LMTP servers or
  37 message delivery agents.
  38
  39 fetchmail ships with a graphical, Python/Tkinter based configuration
  40 utility named "fetchmailconf" to help the user create configuration (run
  41 control) files for fetchmail.
  42
  43
  44 2. Problem description and Impact
  45 =================================
  46
  47 Fetchmail has no configuration facility to enforce TLS connections.
  48 Configuring --sslproto 'tls1' does not cause connection aborts if TLS is
  49 not offered or the TLS handshake fails for POP3 or IMAP.
  50 Even if fetchmail is forced to validate an TLS certificate by means of
  51 --sslfingerprint or --sslcertck, it may expose cleartext credentials
  52 over an unencrypted connection.
  53
  54 This can cause eavesdroppers to obtain the password without fetchmail's
  55 noticing.
  56
  57
  58 3. Workaround
  59 =============
  60
  61 Use fetchmail --ssl --sslcertck --sslproto ssl3 (or equivalent in the
  62 run control file) if your upstream offers SSLv3-wrapped service on a
  63 dedicated port.
  64
  65
  66 4. Solution
  67 ===========
  68
  69 Download and install fetchmail 6.3.6 or a newer stable release from
  70 fetchmail's project site at
  71 <http://developer.berlios.de/project/showfiles.php?group_id=1824>.
  72
  73
  74
  75 A. Copyright, License and Warranty
  76 ==================================
  77
  78 (C) Copyright 2006 by Matthias Andree, <matthias.andree@gmx.de>.
  79 Some rights reserved.
  80
  81 This work is licensed under the Creative Commons
  82 Attribution-NonCommercial-NoDerivs German License. To view a copy of
  83 this license, visit http://creativecommons.org/licenses/by-nc-nd/2.0/de/
  84 or send a letter to Creative Commons; 559 Nathan Abbott Way;
  85 Stanford, California 94305; USA.
  86
  87 THIS WORK IS PROVIDED FREE OF CHARGE AND WITHOUT ANY WARRANTIES.
  88 Use the information herein at your own risk.
  89
  90 END OF fetchmail-SA-2006-02.txt