Pileus Git - ~andy/fetchmail/blob - fetchmail-SA-2007-01.txt

   1 -----BEGIN PGP SIGNED MESSAGE-----
   2 Hash: SHA1
   3
   4 fetchmail-SA-2007-01: APOP considered insecure
   5
   6 Topics:         APOP authentication insecure, fetchmail implementation lax
   7
   8 Author:         Matthias Andree
   9 Version:        1.1
  10 Announced:      2007-04-06
  11 Type:           password theft when under MITM attack
  12 Impact:         password disclosure possible
  13 Danger:         low
  14 Credits:        Gaëtan Leurent
  15 CVE Name:       CVE-2007-1558
  16 URL:            http://fetchmail.berlios.de/fetchmail-SA-2007-01.txt
  17 Project URL:    http://fetchmail.berlios.de/
  18
  19 Affects:        fetchmail release < 6.3.8
  20
  21 Not affected:   fetchmail release 6.3.8
  22
  23 Corrected:      2007-03-18 fetchmail SVN
  24
  25
  26 0. Release history
  27 ==================
  28
  29 2007-04-06 1.0  first release
  30 2008-04-24 1.1  add --ssl to section 3. suggestion A below
  31
  32
  33 1. Background
  34 =============
  35
  36 fetchmail is a software package to retrieve mail from remote POP2, POP3,
  37 IMAP, ETRN or ODMR servers and forward it to local SMTP, LMTP servers or
  38 message delivery agents.
  39
  40 fetchmail ships with a graphical, Python/Tkinter based configuration
  41 utility named "fetchmailconf" to help the user create configuration (run
  42 control) files for fetchmail.
  43
  44
  45 2. Problem description and Impact
  46 =================================
  47
  48 The POP3 standard, currently RFC-1939, has specified an optional,
  49 MD5-based authentication scheme called "APOP".
  50
  51 APOP should no longer be considered secure.
  52
  53 Additionally, fetchmail's POP3 client implementation has been validating
  54 the APOP challenge too lightly and accepted random garbage as a POP3
  55 server's APOP challenge, rather than insisting that the APOP challenge
  56 conformed to RFC-822, as required by RFC-1939.
  57
  58 This made it easier than necessary for man-in-the-middle attackers to
  59 retrieve by several probing and guessing the first three characters of
  60 the APOP secret, bringing brute forcing the remaining characters well
  61 within reach.
  62
  63
  64 3. Solution
  65 ===========
  66
  67 Either of these is currently considered sufficient.
  68
  69 A. Only use APOP on SSL or TLS secured connections with mandatory and thorough
  70    certificate validation, such as fetchmail --sslproto tls1 --sslcertck
  71    or --ssl --sslproto ssl3 --sslcertck), or equivalent in the run control file.
  72
  73 B. Avoid APOP and use stronger authenticators.
  74
  75 C. If you must continue to use APOP without SSL/TLS, then install
  76    fetchmail 6.3.8 or newer, as it is less susceptible to the attack by
  77    validating the APOP challenge more strictly to make the attack
  78    harder. The fetchmail 6.3.8 source code is available from
  79    <http://developer.berlios.de/project/showfiles.php?group_id=1824>.
  80
  81
  82 A. Copyright, License and Warranty
  83 ==================================
  84
  85 (C) Copyright 2007, 2008 by Matthias Andree, <matthias.andree@gmx.de>.
  86 Some rights reserved.
  87
  88 This work is licensed under the
  89 Creative Commons Attribution-NoDerivs 3.0 Germany License (CC BY-ND 3.0).
  90
  91 To view a copy of this license, visit
  92 http://creativecommons.org/licenses/by-nd/3.0/de/deed.en
  93 or send a letter to:
  94
  95 Creative Commons
  96 444 Castro Street
  97 Suite 900
  98 MOUNTAIN VIEW, CALIFORNIA 94041
  99 USA
 100
 101
 102 THIS WORK IS PROVIDED FREE OF CHARGE AND WITHOUT ANY WARRANTIES.
 103 Use the information herein at your own risk.
 104
 105 END OF fetchmail-SA-2007-01.txt
 106
 107 -----BEGIN PGP SIGNATURE-----
 108 Version: GnuPG v1.4.11 (GNU/Linux)
 109
 110 iEYEARECAAYFAk9/Yg4ACgkQvmGDOQUufZVn6wCgkC9pMA9HxXG6lgbgoixd73Tn
 111 Cz4AoKG+qB47vhGdXSTDDXDFgMDrMJ24
 112 =BKzz
 113 -----END PGP SIGNATURE-----