水曜日, 4月 21, 2010

Fetchmail 4.6.3〜6.3.16、UTFバグのDoS(CVE-2010-1167)

問題発見時間は昨日のJST、情報アップデートは今朝JST迄です。

ソフトウェア名はFetchmail、unixローカル/リモートメールツール
影響されたバージョンはFetchmail 4.6.3〜6.3.16です。

下記は問題説明↓
「report.c」のソースの中にUTFハンドル問題があり「-vv」のパラメータを実行すると「EILSECのDoS」が起きます、ようはFetchmailがクラッシュになってしまいます。この問題はシステムのローカルlangをマルチプルバイト(UTF※)の設定したら影響が出ます。詳しい問題情報は下記のurlへご確認下さい↓
http://gitorious.org/fetchmail/fetchmail/commit/ec06293

この問題に関してはCVEに登録済みですがリビュー中です↓
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1167

fetchmail.orgからの情報ですが、このバグは次のバージョンで直す予定です、次のバージョンは6.3.17ですが減税未だリリースされておりません。fetchmail.orgはバグ理解し、fetchmail.orgでパッチコード調べたら見つかります。

freebsd-8リリースのパッチですが6.3.16ポートで先にパッチ提供する方向となり、現在検討中だそうです。6.3.17が先に正式なリリース予定確認次第だと思われます、詳しくは下記のurlです↓
http://www.freebsd.org/cgi/query-pr.cgi?pr=145857

---
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター

0 件のコメント:

コメントを投稿