Fetchmail SSL证书显示远程堆溢出漏洞_安全中国 - www.anqn.com

影响版本:
Eric Raymond Fetchmail 6.3.x漏洞描述:
BUGTRAQ ID: 38088

Fetchmail是免费的软件包，可以从远程POP2、POP3、IMAP、ETRN或ODMR服务器检索邮件并将其转发给本地SMTP、LMTP服务器或消息传送代理。

以verbose模式运行的fetchmail会向用户显示X.509证书的标题和发布者信息，为此要计算并分配一个malloc()缓冲区。如果所要显示的内容包含有设置了高位的字符且平台将char类型设置为有符型，由于不可打印字符转义为了\xFF..FFnn（nn为十六进制的80..FF），这可能会在sdump.c文件的sdump()函数中触发堆溢出，导致执行任意代码。<*参考
Matthias Andree （matthias.andree@gmx.de）
http://secunia.com/advisories/38391/
http://www.fetchmail.info/fetchmail-SA-2010-01.txt
*>
SEBUG安全建议:
厂商补丁：

Eric Raymond
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://developer.berlios.de/project/showfiles.php?group_id=1824