26.07.2005 11:56
Alert! Fetchmail stolpert über lange Kennungen
Fetchmail ist ein beliebter und verbreiteter Dienst zum lokalen Sammeln und Weiterverteilen von E-Mails von externen IMAP- und POP-Servern. Der Code, der in Fetchmail mit dem POP3-Protokoll umgeht, ist anfällig für einen Stack-basierten Buffer-Overflow, der möglicherweise die unautorisierte Ausführung von eingeschleustem Schadcode erlaubt.
Der Fehler liegt in einem Puffer fester Größe in dem POP3-Code, der die eindeutige Kennung (UID) der abzuholenden E-Mail aufnimmt. Wenn es gelingt, diese gezielt zu manipulieren, lässt sich damit dieser Puffer zum Überlaufen bringen. Die Fetchmail-Entwickler versuchten diese Lücke mit Version 6.2.5.1 zu schließen, allerdings hatte der Patch Nebenwirkungen, die sich wiederum durch manipulierte Mails für einen Denial-of-Service nutzen ließen. Der Patch führte neuen Code ein, der unter Umständen versuchte, Werte von Pointern auszulesen, die auf NULL zeigen. Da dies ein undefinierter Wert ist, führt der Vorgang zum Programmabsturz, der Fachbegriff hierfür ist NULL-Pointer-Dereferenz.
Die Version 6.2.5.2 der Software behebt diese Probleme. Betroffene Nutzer sollten umgehend auf die neue Version umsteigen. Die Linux-Distributoren veröffentlichen zurzeit ebenfalls aktualisierte Pakete, die dieses Loch stopfen.
Siehe dazu auch:
(dmk)
- Security Advisory von den Fetchmail-Entwicklern
- Download der aktualisierten Fetchmail-Quellen
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
