Pileus Git - ~andy/fetchmail/blob - fetchmail-SA-2012-01.txt

   1 -----BEGIN PGP SIGNED MESSAGE-----
   2 Hash: SHA1
   3
   4 fetchmail-SA-2012-01: Information disclosure under active attack
   5
   6 Topics:         Information disclosure under active attack with block ciphers
   7
   8 Author:         Matthias Andree
   9 Version:        1.0
  10 Announced:      2012-08-29
  11 Type:           information disclosure under active attack
  12 Impact:         chosen plaintext attack theoretically possible
  13 Danger:         low
  14 Acknowledgment: Apple product security
  15
  16 CVE Name:       CVE-2011-3389
  17 URL:            http://www.fetchmail.info/fetchmail-SA-2012-01.txt
  18 Project URL:    http://www.fetchmail.info/
  19
  20 Affects:        - fetchmail releases 6.3.9 up to and including 6.3.21
  21
  22                 - Any fetchmail release when using OpenSSL versions
  23                   before 0.9.6i, or 0.9.7
  24
  25 Not affected:   - fetchmail releases 5.1.3 up to and including 6.3.8
  26                   but only when using sufficiently new OpenSSL releases
  27                 - fetchmail releases 6.3.22 and newer
  28                   but only when using sufficiently new OpenSSL releases
  29
  30                 Where "sufficiently new" means 0.9.6i or newer,
  31                 or 0.9.7a or newer, or higher numerical versions
  32                 such as 0.9.8, 1.0.0 (any letters)
  33
  34 Corrected in:   2012-04-06 Git, among others, see commit
  35                 4af941d4a4318ba3149316aaa7ffaf24bb959e93
  36
  37                 2012-08-29 fetchmail 6.3.22 release tarball
  38
  39
  40 0. Release history
  41 ==================
  42
  43 2012-08-29 1.0  release
  44
  45
  46 1. Background
  47 =============
  48
  49 fetchmail is a software package to retrieve mail from remote POP3, IMAP,
  50 ETRN or ODMR servers and forward it to local SMTP, LMTP servers or
  51 message delivery agents. fetchmail supports SSL and TLS security layers
  52 through the OpenSSL library, if enabled at compile time and if also
  53 enabled at run time, in both SSL/TLS-wrapped mode on dedicated ports as
  54 well as in-band-negotiated "STARTTLS" and "STLS" modes through the
  55 regular protocol ports.
  56
  57
  58 2. Problem description and Impact
  59 =================================
  60
  61 Fetchmail version 6.3.9 enabled "all SSL workarounds" (SSL_OP_ALL) which
  62 contains a switch to disable a countermeasure against certain attacks
  63 against block ciphers that permit guessing the initialization vectors,
  64 providing that an attacker can make the application (fetchmail) encrypt
  65 some data for him -- which is not easily the case.
  66
  67 Stream ciphers (such as RC4) are unaffected.
  68
  69 While the /practical/ impact of disabling this countermeasure is unclear
  70 at the moment, as a safety precation, the countermeasure is reenabled by
  71 default in fetchmail versions 6.3.22 and newer.
  72
  73 For technical details on the attack and countermeasure and affected
  74 OpenSSL versions, please see <http://www.openssl.org/~bodo/tls-cbc.txt>.
  75
  76
  77 3. Solution
  78 ===========
  79
  80 Install fetchmail 6.3.22 or newer.
  81
  82 The fetchmail source code is always available from
  83 <http://developer.berlios.de/project/showfiles.php?group_id=1824>.
  84
  85 Distributors are encouraged to review the NEWS file and move forward to
  86 6.3.22, rather than backport individual security fixes, because doing so
  87 routinely misses other fixes crucial to fetchmail's proper operation,
  88 for which no security announcements are issued, or documentation.
  89
  90 Fetchmail 6.3.X releases have always been made with a focus on unchanged
  91 user and program interfaces so as to avoid disruptions when upgrading
  92 from 6.3.X to 6.3.Y with Y > X.  Care was taken to not change the
  93 interface incompatibly.
  94
  95
  96 A. Copyright, License and Non-Warranty
  97 ======================================
  98
  99 (C) Copyright 2012 by Matthias Andree, <matthias.andree@gmx.de>.
 100 Some rights reserved.
 101
 102 This work is licensed under the
 103 Creative Commons Attribution-NoDerivs 3.0 Germany License (CC BY-ND 3.0).
 104
 105 To view a copy of this license, visit
 106 http://creativecommons.org/licenses/by-nd/3.0/de/deed.en
 107 or send a letter to:
 108
 109 Creative Commons
 110 444 Castro Street
 111 Suite 900
 112 MOUNTAIN VIEW, CALIFORNIA 94041
 113 USA
 114
 115
 116 THIS WORK IS PROVIDED FREE OF CHARGE AND WITHOUT ANY WARRANTIES.
 117 Use the information herein at your own risk.
 118
 119 END of fetchmail-SA-2012-01
 120 -----BEGIN PGP SIGNATURE-----
 121 Version: GnuPG v1.4.11 (GNU/Linux)
 122
 123 iEUEARECAAYFAlA+h6EACgkQvmGDOQUufZVxcQCWJ4Oza6u2OtWZErSf415uBneQ
 124 0gCfbaE1JSkrd0uXzwWDMAbBnSqY9lY=
 125 =2BVL
 126 -----END PGP SIGNATURE-----