Oracle Linux 3/4/5：fetchmail（ELSA-2009-1427）

medium Nessus プラグイン ID 67920

Language:

概要

リモート Oracle Linux ホストにセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2009:1427 から：

複数のセキュリティの問題を修正する更新済みの fetchmail パッケージが、Red Hat Enterprise Linux 3、4 および 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新は重要度中のセキュリティ影響があると評価しています。

Fetchmail は、リモートのメール取得/転送ユーティリティで、SLIP と PPP の接続のようにオンデマンド TCP/IP リンクに使用されることが意図されています。

fetchmail が以前公開された「null プレフィックス攻撃」の影響を受けたため、 X.509 証明書の NULL 文字が正しく処理されないことがわかりました。攻撃者が、信頼する認証局による署名がある注意深く細工された証明書を取得できた場合、中間者攻撃の最中にこの証明書を使用し、 fetchmail を混乱させて誤ってこれを受け入れさせる可能性があります。(CVE-2009-2666)

警告メールを postmaster に送信する際に fetchmail がリモートの SMTP サーバーからの拒否を処理する方法で、欠陥が見つかりました。fetchmail が SMTP サーバーの postmaster に警告メールを送信し、その SMTP サーバーがこれを拒否した場合、 fetchmail がクラッシュする可能性があります。(CVE-2007-4565)

fetchmail に欠陥が見つかりました。fetchmail が二重 verbose モード (「-v -v」) で実行されている場合、長いヘッダーのある特定の無効な形式のメールメッセージを受信したときにクラッシュする可能性があります。リモートの攻撃者が、この欠陥を利用して、 fetchmail がデーモンモード (「-d」) でも実行されている場合に、サービス拒否を引き起こすことが可能です。(CVE-2008-2711)

注：SSL を有効にしたサービスを使用する際には、fetchmail「--sslcertck」オプションを使用し、厳格な SSL 証明書チェックを強制することが推奨されます。

fetchmail の全ユーザーは、バックポートされたパッチが含まれるこの更新済みパッケージにアップグレードし、これらの問題を修正する必要があります。fetchmail がデーモンモードで実行されている場合、この更新を有効にするには、fetchmail を再起動する必要があります（「fetchmail --quit」コマンドを使用して、fetchmail のプロセスを停止する）。