Fetchmail stolpert über lange Kennungen

Fetchmail ist ein beliebter und verbreiteter Dienst zum lokalen Sammeln und Weiterverteilen von E-Mails von externen IMAP- und POP-Servern. Der Code, der in Fetchmail mit dem POP3-Protokoll umgeht, ist anfällig für einen Stack-basierten Buffer-Overflow, der möglicherweise die unautorisierte Ausführung von eingeschleustem Schadcode erlaubt.

Der Fehler liegt in einem Puffer fester Größe in dem POP3-Code, der die eindeutige Kennung (UID) der abzuholenden E-Mail aufnimmt. Wenn es gelingt, diese gezielt zu manipulieren, lässt sich damit dieser Puffer zum Überlaufen bringen. Die Fetchmail-Entwickler versuchten diese Lücke mit Version 6.2.5.1 zu schließen, allerdings hatte der Patch Nebenwirkungen, die sich wiederum durch manipulierte Mails für einen Denial-of-Service nutzen ließen. Der Patch führte neuen Code ein, der unter Umständen versuchte, Werte von Pointern auszulesen, die auf NULL zeigen. Da dies ein undefinierter Wert ist, führt der Vorgang zum Programmabsturz, der Fachbegriff hierfür ist NULL-Pointer-Dereferenz.

Die Version 6.2.5.2 der Software behebt diese Probleme. Betroffene Nutzer sollten umgehend auf die neue Version umsteigen. Die Linux-Distributoren veröffentlichen zurzeit ebenfalls aktualisierte Pakete, die dieses Loch stopfen.

Siehe dazu auch: (dmk)

• Security Advisory von den Fetchmail-Entwicklern
• Download der aktualisierten Fetchmail-Quellen