Fetchmail SSL证书显示远程堆溢出漏洞

BUGTRAQ ID: 38088 Fetchmail是免费的软件包，可以从远程POP2、POP3、IMAP、ETRN或ODMR服务器检索邮件并将其转发给本地SMTP、LMTP服务器或消息传送代理。 以verbose模式运行的fetchmail会向用户显示X.509证书的标题和发布者信息，为此要计算并分配一个malloc缓冲区。如果所要显示的内容包含有设置了高位的字符且平台将char类型设置为有符型，由于不可打印字符转义为了\xFF..FFnn（nn为十六进制的80..FF），这可能会在sdump.c文件的sdump函数中触发堆溢出，导致执行任意代码。 Eric Raymond...

Fetchmail多个密码信息泄露漏洞

Fetchmail是一款多功能的IMAP和POP客户程序。 Fetchmail存在设计问题，远程攻击者可以利用漏洞可能获得用户密码敏感信息。 具体问题如下： -sslcertck/sslfingerprint选项本来必须应用到"sslproto tls1"来迫使使用TLS协商，但程序没有。 -在配置文件中即使使用"sslproto tls1"，但如果STLS/STARTTLS没有使用，获取邮件也是明文过程。 -无论TLS选项是否采用，POP3的抓取完全忽略TLS，因为在检查STLS支持前没有可靠的发送CAPA，而CAPA是STLS所必须的。无论CAPA是否检测到，依靠的是"auth"选项...

Fetchmail POP3客户端缓冲区溢出漏洞

BUGTRAQ ID: 14349 CVECAN ID: CVE-2005-2335 fetchmail是免费的软件包，可以从远程POP2、POP3、IMAP、ETRN或ODMR服务器检索邮件并将其转发给本地SMTP、LMTP服务器或消息传送代理。 fetchmail的POP3客户端在处理服务器回应时存在缓冲区溢出漏洞，恶意服务器可能利用此漏洞在客户端上执行任意指令。...