发布日期：2002-05-21
更新日期：2002-05-27

受影响系统：

Eric Raymond Fetchmail 5.9.8
Eric Raymond Fetchmail 5.9.7
Eric Raymond Fetchmail 5.9.6
Eric Raymond Fetchmail 5.9.5
Eric Raymond Fetchmail 5.9.4
Eric Raymond Fetchmail 5.9.3
Eric Raymond Fetchmail 5.9.2
Eric Raymond Fetchmail 5.9.1
Eric Raymond Fetchmail 5.8.17
Eric Raymond Fetchmail 5.8.16
Eric Raymond Fetchmail 5.9.9
    - Linux系统  
    - Unix系统

不受影响系统：

Eric Raymond Fetchmail 5.9.11
Eric Raymond Fetchmail 5.9.10

描述：

---

BUGTRAQ  ID: 4788
CVE(CAN) ID: CVE-2002-0146

Fetchmail是一款由Eric S. Raymond维护的免费开放源代码邮件客户端。

Fetchmail在对信息索引统计处理时存在漏洞，可导致远程攻击者进行缓冲溢出攻击。

当Fetchmail接收来自IMAP服务器的邮件时，客户端会分配数组来存储它要获取的信息，而分配的数组大小由服务器决定，fetchmail 5.9.10版本之前的程序没有检查IMAP服务器提供的数字是否过高，攻击者可以伪造恶意服务器信息导致Fetchmail进程破坏数组边界造成缓冲区溢出，精心提供服务器响应信息可导致以Fetchmail进程的权限在目标系统上执行任意指令。

<*来源：bugzilla@redhat.com （bugzilla@redhat.com）
  
  链接：https://www.redhat.com/support/errata/RHSA-2002-047.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。

厂商补丁：

Eric Raymond
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

请升级到5.9.10版本以上：

Eric Raymond Upgrade fetchmail-5.9.10.tar.gz
http://tuxedo.org/~esr/fetchmail/fetchmail-5.9.10.tar.gz

RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2002:047-10）以及相应补丁:
RHSA-2002:047-10：Updated fetchmail packages available
链接：https://www.redhat.com/support/errata/RHSA-2002-047.html

补丁下载：

Red Hat Linux 6.2:

SRPMS:
ftp://updates.redhat.com/6.2/en/os/SRPMS/fetchmail-5.9.0-9.src.rpm

alpha:
ftp://updates.redhat.com/6.2/en/os/alpha/fetchmail-5.9.0-9.alpha.rpm
ftp://updates.redhat.com/6.2/en/os/alpha/fetchmailconf-5.9.0-9.alpha.rpm

i386:
ftp://updates.redhat.com/6.2/en/os/i386/fetchmail-5.9.0-9.i386.rpm
ftp://updates.redhat.com/6.2/en/os/i386/fetchmailconf-5.9.0-9.i386.rpm

sparc:
ftp://updates.redhat.com/6.2/en/os/sparc/fetchmail-5.9.0-9.sparc.rpm
ftp://updates.redhat.com/6.2/en/os/sparc/fetchmailconf-5.9.0-9.sparc.rpm

Red Hat Linux 7.0:

SRPMS:
ftp://updates.redhat.com/7.0/en/os/SRPMS/fetchmail-5.9.0-10.src.rpm

alpha:
ftp://updates.redhat.com/7.0/en/os/alpha/fetchmail-5.9.0-10.alpha.rpm
ftp://updates.redhat.com/7.0/en/os/alpha/fetchmailconf-5.9.0-10.alpha.rpm

i386:
ftp://updates.redhat.com/7.0/en/os/i386/fetchmail-5.9.0-10.i386.rpm
ftp://updates.redhat.com/7.0/en/os/i386/fetchmailconf-5.9.0-10.i386.rpm

Red Hat Linux 7.1:

SRPMS:
ftp://updates.redhat.com/7.1/en/os/SRPMS/fetchmail-5.9.0-10.src.rpm

alpha:
ftp://updates.redhat.com/7.1/en/os/alpha/fetchmail-5.9.0-10.alpha.rpm
ftp://updates.redhat.com/7.1/en/os/alpha/fetchmailconf-5.9.0-10.alpha.rpm

i386:
ftp://updates.redhat.com/7.1/en/os/i386/fetchmail-5.9.0-10.i386.rpm
ftp://updates.redhat.com/7.1/en/os/i386/fetchmailconf-5.9.0-10.i386.rpm

ia64:
ftp://updates.redhat.com/7.1/en/os/ia64/fetchmail-5.9.0-10.ia64.rpm
ftp://updates.redhat.com/7.1/en/os/ia64/fetchmailconf-5.9.0-10.ia64.rpm

Red Hat Linux 7.2:

SRPMS:
ftp://updates.redhat.com/7.2/en/os/SRPMS/fetchmail-5.9.0-11.src.rpm

i386:
ftp://updates.redhat.com/7.2/en/os/i386/fetchmail-5.9.0-11.i386.rpm
ftp://updates.redhat.com/7.2/en/os/i386/fetchmailconf-5.9.0-11.i386.rpm

ia64:
ftp://updates.redhat.com/7.2/en/os/ia64/fetchmail-5.9.0-11.ia64.rpm
ftp://updates.redhat.com/7.2/en/os/ia64/fetchmailconf-5.9.0-11.ia64.rpm

Red Hat Linux 7.3:

SRPMS:
ftp://updates.redhat.com/7.3/en/os/SRPMS/fetchmail-5.9.0-11.src.rpm

i386:
ftp://updates.redhat.com/7.3/en/os/i386/fetchmail-5.9.0-11.i386.rpm
ftp://updates.redhat.com/7.3/en/os/i386/fetchmailconf-5.9.0-11.i386.rpm


可使用下列命令安装补丁：

rpm -Fvh [文件名]

浏览次数：4086
严重程度：0（网友投票）