← Back to branch summary

~ubuntu-branches/ubuntu/hardy/fetchmail/hardy-security

« back to all changes in this revision

Viewing changes to fetchmail-SA-2006-02.txt

  • Committer: Bazaar Package Importer
  • Author(s): Andrew Mitchell
  • Date: 2006-12-21 00:34:15 UTC
  • mfrom: (1.1.4 upstream)
  • Revision ID: james.westby@ubuntu.com-20061221003415-gc0wnuaykisbajav
Tags: 6.3.6~rc3-1ubuntu1
* Merge from debian unstable. Remaining Ubuntu changes:
  - debian/control:
    + exim4 -> postfix dependency.
    + Add sysv-rc (>= 2.86.ds1-14.1ubuntu2) dependency for the 'multiuser'
      update-rc.d feature.
  - debian/fetchmail.postinst:
    + Install 'multiuser' rc.d symlinks.
    + Remove unnecessary rc.d symlinks on upgrades.

Show diffs side-by-side

added added

removed removed

Lines of Context:
fetchmail-SA-2006-02.txt
 
1
fetchmail-SA-2006-02: TLS enforcement problem/MITM attack/password exposure
 
2
 
 
3
Topics:         fetchmail cannot enforce TLS
 
4
 
 
5
Author:         Matthias Andree
 
6
Version:        1.0
 
7
Announced:      2006-11-XX
 
8
Type:           secret information disclosure
 
9
Impact:         fetchmail can expose cleartext password over unsecure link
 
10
                fetchmail may not detect man in the middle attacks
 
11
Danger:         medium
 
12
Credits:        Isaac Wilcox (bug report, collaboration on fix)
 
13
CVE Name:       CVE-2006-5867
 
14
URL:            http://fetchmail.berlios.de/fetchmail-SA-2006-02.txt
 
15
Project URL:    http://fetchmail.berlios.de/
 
16
 
 
17
Affects:        fetchmail releases <= 6.3.5
 
18
                fetchmail release candidate 6.3.6-rc1
 
19
 
 
20
Not affected:   fetchmail release candidate 6.3.6-rc2
 
21
                fetchmail release 6.3.6
 
22
 
 
23
Corrected:      2006-11-12 fetchmail 6.3.6-rc2
 
24
 
 
25
 
 
26
0. Release history
 
27
==================
 
28
 
 
29
2006-11-12      internal review draft
 
30
 
 
31
 
 
32
1. Background
 
33
=============
 
34
 
 
35
fetchmail is a software package to retrieve mail from remote POP2, POP3,
 
36
IMAP, ETRN or ODMR servers and forward it to local SMTP, LMTP servers or
 
37
message delivery agents.
 
38
 
 
39
fetchmail ships with a graphical, Python/Tkinter based configuration
 
40
utility named "fetchmailconf" to help the user create configuration (run
 
41
control) files for fetchmail.
 
42
 
 
43
 
 
44
2. Problem description and Impact
 
45
=================================
 
46
 
 
47
Fetchmail has no configuration facility to enforce TLS connections.
 
48
Configuring --sslproto 'tls1' does not cause connection aborts if TLS is
 
49
not offered or the TLS handshake fails for POP3 or IMAP.
 
50
Even if fetchmail is forced to validate an TLS certificate by means of
 
51
--sslfingerprint or --sslcertck, it may expose cleartext credentials
 
52
over an unencrypted connection.
 
53
 
 
54
This can cause eavesdroppers to obtain the password without fetchmail's
 
55
noticing.
 
56
 
 
57
 
 
58
3. Workaround
 
59
=============
 
60
 
 
61
Use fetchmail --ssl --sslcertck --sslproto ssl3 (or equivalent in the
 
62
run control file) if your upstream offers SSLv3-wrapped service on a
 
63
dedicated port.
 
64
 
 
65
 
 
66
4. Solution
 
67
===========
 
68
 
 
69
Download and install fetchmail 6.3.6 or a newer stable release from
 
70
fetchmail's project site at
 
71
<http://developer.berlios.de/project/showfiles.php?group_id=1824>.
 
72
 
 
73
 
 
74
 
 
75
A. Copyright, License and Warranty
 
76
==================================
 
77
 
 
78
(C) Copyright 2006 by Matthias Andree, <matthias.andree@gmx.de>.
 
79
Some rights reserved.
 
80
 
 
81
This work is licensed under the Creative Commons
 
82
Attribution-NonCommercial-NoDerivs German License. To view a copy of
 
83
this license, visit http://creativecommons.org/licenses/by-nc-nd/2.0/de/
 
84
or send a letter to Creative Commons; 559 Nathan Abbott Way;
 
85
Stanford, California 94305; USA.
 
86
 
 
87
THIS WORK IS PROVIDED FREE OF CHARGE AND WITHOUT ANY WARRANTIES.
 
88
Use the information herein at your own risk.
 
89
 
 
90
END OF fetchmail-SA-2006-02.txt