Pileus Git - ~andy/fetchmail/blob - fetchmail-SA-2012-02.txt

   1 fetchmail-SA-2012-02: DoS possible with NTLM authentication in debug mode
   2
   3 Topics:         fetchmail denial of service in NTLM protocol phase
   4
   5 Author:         Matthias Andree
   6 Version:        draft
   7 Announced:      2012-08-13
   8 Type:           crash while reading from bad memory location
   9 Impact:         fetchmail segfaults and aborts, stalling inbound mail
  10 Danger:         low
  11 Acknowledgment: J. Porter Clark
  12
  13 CVE Name:       (TBD)
  14 URL:            http://www.fetchmail.info/fetchmail-SA-2012-02.txt
  15 Project URL:    http://www.fetchmail.info/
  16
  17 Affects:        - fetchmail releases 5.0.8 up to and including 6.3.21
  18                   when compiled with NTLM support enabled
  19
  20 Not affected:   - fetchmail releases compiled with NTLM support disabled
  21                 - fetchmail releases 6.3.22 and newer
  22
  23 Corrected in:   2012-08-13 Git, among others, see commit
  24                 3fbc7cd331602c76f882d1b507cd05c1d824ba8b
  25
  26                 2012-08-xx fetchmail 6.3.22 release tarball
  27
  28
  29 0. Release history
  30 ==================
  31
  32 2012-08-13 0.1  draft
  33
  34
  35 1. Background
  36 =============
  37
  38 fetchmail is a software package to retrieve mail from remote POP3, IMAP,
  39 ETRN or ODMR servers and forward it to local SMTP, LMTP servers or
  40 message delivery agents. fetchmail supports SSL and TLS security layers
  41 through the OpenSSL library, if enabled at compile time and if also
  42 enabled at run time, in both SSL/TLS-wrapped mode on dedicated ports as
  43 well as in-band-negotiated "STARTTLS" and "STLS" modes through the
  44 regular protocol ports.
  45
  46
  47 2. Problem description and Impact
  48 =================================
  49
  50 Fetchmail version 5.0.8 added NTLM support. This code sent the NTLM
  51 authentication request, but never checked if the received response was
  52 NTLM protocol exchange, or a server-side error message.  Instead,
  53 fetchmail tried to decode the error message as though it were
  54 base64-encoded protocol exchange, and could then segfault depending of
  55 buffer contents, while reading data from bad memory locations.
  56
  57
  58 3. Solution
  59 ===========
  60
  61 Install fetchmail 6.3.22 or newer.
  62
  63 The fetchmail source code is always available from
  64 <http://developer.berlios.de/project/showfiles.php?group_id=1824>.
  65
  66 Distributors are encouraged to review the NEWS file and move forward to
  67 6.3.22, rather than backport individual security fixes, because doing so
  68 routinely misses other fixes crucial to fetchmail's proper operation,
  69 for which no security announcements are issued, or documentation.
  70
  71 Fetchmail 6.3.X releases have always been made with a focus on unchanged
  72 user and program interfaces so as to avoid disruptions when upgrading
  73 from 6.3.X to 6.3.Y with Y > X.  Care was taken to not change the
  74 interface incompatibly.
  75
  76
  77 A. Copyright, License and Non-Warranty
  78 ======================================
  79
  80 (C) Copyright 2012 by Matthias Andree, <matthias.andree@gmx.de>.
  81 Some rights reserved.
  82
  83 This work is licensed under the
  84 Creative Commons Attribution-NoDerivs 3.0 Germany License (CC BY-ND 3.0).
  85
  86 To view a copy of this license, visit
  87 http://creativecommons.org/licenses/by-nd/3.0/de/deed.en
  88 or send a letter to:
  89
  90 Creative Commons
  91 444 Castro Street
  92 Suite 900
  93 MOUNTAIN VIEW, CALIFORNIA 94041
  94 USA
  95
  96
  97 THIS WORK IS PROVIDED FREE OF CHARGE AND WITHOUT ANY WARRANTIES.
  98 Use the information herein at your own risk.
  99
 100 END of fetchmail-SA-2012-02