Pileus Git - ~andy/fetchmail/blob - fetchmail-SA-2006-03.txt

   1 -----BEGIN PGP SIGNED MESSAGE-----
   2 Hash: SHA1
   3
   4 fetchmail-SA-2006-03: crash when refusing message delivered through MDA
   5
   6 Topics:         fetchmail crashes when refusing a message bound for an MDA
   7
   8 Author:         Matthias Andree
   9 Version:        1.0
  10 Announced:      2007-01-04
  11 Type:           denial of service
  12 Impact:         fetchmail aborts prematurely
  13 Danger:         low
  14 Credits:        Neil Hoggarth (bug report and analysis)
  15 CVE Name:       CVE-2006-5974
  16 URL:            http://fetchmail.berlios.de/fetchmail-SA-2006-03.txt
  17 Project URL:    http://fetchmail.berlios.de/
  18
  19 Affects:        fetchmail release = 6.3.5
  20                 fetchmail release candidates 6.3.6-rc1, -rc2
  21
  22 Not affected:   fetchmail release 6.3.6
  23
  24 Corrected:      2006-11-14 fetchmail SVN
  25
  26
  27 0. Release history
  28 ==================
  29
  30 2006-11-19 -    internal review draft
  31 2007-01-04 1.0   ready for release
  32
  33
  34 1. Background
  35 =============
  36
  37 fetchmail is a software package to retrieve mail from remote POP2, POP3,
  38 IMAP, ETRN or ODMR servers and forward it to local SMTP, LMTP servers or
  39 message delivery agents.
  40
  41 fetchmail ships with a graphical, Python/Tkinter based configuration
  42 utility named "fetchmailconf" to help the user create configuration (run
  43 control) files for fetchmail.
  44
  45
  46 2. Problem description and Impact
  47 =================================
  48
  49 Fetchmail 6.3.5 and early 6.3.6 release candidates, when delivering
  50 messages to a message delivery agent by means of the "mda" option, can
  51 crash (by passing a NULL pointer to ferror() and fflush()) when refusing
  52 a message. SMTP and LMTP delivery modes aren't affected.
  53
  54
  55 3. Workaround
  56 =============
  57
  58 Avoid the mda option and ship to a local SMTP or LMTP server instead.
  59
  60
  61 4. Solution
  62 ===========
  63
  64 Download and install fetchmail 6.3.6 or a newer stable release from
  65 fetchmail's project site at
  66 <http://developer.berlios.de/project/showfiles.php?group_id=1824>.
  67
  68
  69
  70 A. Copyright, License and Warranty
  71 ==================================
  72
  73 (C) Copyright 2007 by Matthias Andree, <matthias.andree@gmx.de>.
  74 Some rights reserved.
  75
  76 This work is licensed under the
  77 Creative Commons Attribution-NoDerivs 3.0 Germany License (CC BY-ND 3.0).
  78
  79 To view a copy of this license, visit
  80 http://creativecommons.org/licenses/by-nd/3.0/de/deed.en
  81 or send a letter to:
  82
  83 Creative Commons
  84 444 Castro Street
  85 Suite 900
  86 MOUNTAIN VIEW, CALIFORNIA 94041
  87 USA
  88
  89 THIS WORK IS PROVIDED FREE OF CHARGE AND WITHOUT ANY WARRANTIES.
  90 Use the information herein at your own risk.
  91
  92 END OF fetchmail-SA-2006-03.txt
  93
  94 -----BEGIN PGP SIGNATURE-----
  95 Version: GnuPG v1.4.11 (GNU/Linux)
  96
  97 iEYEARECAAYFAk9/Yg4ACgkQvmGDOQUufZWnJACgxlN1s2Y3gO/Nap72VG7EaAyV
  98 PAEAoKChr5sNMsU9k9LJeYvMYOua7IC1
  99 =Vx/n
 100 -----END PGP SIGNATURE-----