Pileus Git - ~andy/fetchmail/blob - fetchmail-SA-2007-01.txt

   1 fetchmail-SA-2007-01: APOP considered insecure
   2
   3 Topics:         APOP authentication insecure, fetchmail implementation lax
   4
   5 Author:         Matthias Andree
   6 Version:        1.0
   7 Announced:      2007-04-06
   8 Type:           password theft when under MITM attack
   9 Impact:         password disclosure possible
  10 Danger:         low
  11 Credits:        Gaëtan Leurent
  12 CVE Name:       CVE-2007-1558
  13 URL:            http://fetchmail.berlios.de/fetchmail-SA-2007-01.txt
  14 Project URL:    http://fetchmail.berlios.de/
  15
  16 Affects:        fetchmail release < 6.3.8
  17
  18 Not affected:   fetchmail release 6.3.8
  19
  20 Corrected:      2007-03-18 fetchmail SVN
  21
  22
  23 0. Release history
  24 ==================
  25
  26 2007-04-06 1.0  first release
  27
  28
  29 1. Background
  30 =============
  31
  32 fetchmail is a software package to retrieve mail from remote POP2, POP3,
  33 IMAP, ETRN or ODMR servers and forward it to local SMTP, LMTP servers or
  34 message delivery agents.
  35
  36 fetchmail ships with a graphical, Python/Tkinter based configuration
  37 utility named "fetchmailconf" to help the user create configuration (run
  38 control) files for fetchmail.
  39
  40
  41 2. Problem description and Impact
  42 =================================
  43
  44 The POP3 standard, currently RFC-1939, has specified an optional,
  45 MD5-based authentication scheme called "APOP".
  46
  47 APOP should no longer be considered secure.
  48
  49 Additionally, fetchmail's POP3 client implementation has been validating
  50 the APOP challenge too lightly and accepted random garbage as a POP3
  51 server's APOP challenge, rather than insisting that the APOP challenge
  52 conformed to RFC-822, as required by RFC-1939.
  53
  54 This made it easier than necessary for man-in-the-middle attackers to
  55 retrieve by several probing and guessing the first three characters of
  56 the APOP secret, bringing brute forcing the remaining characters well
  57 within reach.
  58
  59
  60 3. Solution
  61 ===========
  62
  63 Either of these is currently considered sufficient.
  64
  65 A. Only use APOP on SSL or TLS secured connections with mandatory and thorough
  66    certificate validation, such as fetchmail --sslproto tls1 --sslcertck
  67    or --sslproto ssl3 --sslcertck), or equivalent in the run control file.
  68
  69 B. Avoid APOP and use stronger authenticators.
  70
  71 C. If you must continue to use APOP without SSL/TLS, then install
  72    fetchmail 6.3.8 or newer, as it is less susceptible to the attack by
  73    validating the APOP challenge more strictly to make the attack
  74    harder. The fetchmail 6.3.8 source code is available from
  75    <http://developer.berlios.de/project/showfiles.php?group_id=1824>.
  76
  77
  78 A. Copyright, License and Warranty
  79 ==================================
  80
  81 (C) Copyright 2007 by Matthias Andree, <matthias.andree@gmx.de>.
  82 Some rights reserved.
  83
  84 This work is licensed under the Creative Commons
  85 Attribution-NonCommercial-NoDerivs German License. To view a copy of
  86 this license, visit http://creativecommons.org/licenses/by-nc-nd/2.0/de/
  87 or send a letter to Creative Commons; 559 Nathan Abbott Way;
  88 Stanford, California 94305; USA.
  89
  90 THIS WORK IS PROVIDED FREE OF CHARGE AND WITHOUT ANY WARRANTIES.
  91 Use the information herein at your own risk.
  92
  93 END OF fetchmail-SA-2007-01.txt