vulnerabilidad que permite que un atacante local tenga acceso a las
claves del servicio.
"fetchmail" es una herramienta utilizada para descargar correo
electrónico de servidores y repartirlo en diversas cuentas locales.
Se trata de un servicio utilizado con asiduidad por administradores
de sistemas con conexiones no permanentes a Internet.
Las versiones no actualizadas de "fetchmail" contienen una
vulnerabilidad en la herramienta "fetchmailconf", utilizada como
configurador gráfico de "fetchmail". Dicha vulnerabilidad consiste en
una ventana de tiempo durante la cual el fichero de configuración del
servicio, conteniendo las claves de acceso a los buzones, puede ser
accesible a otros usuarios del sistema.
Hispasec recomienda a todos los usuarios de "fechmail" que actualicen
a la versión 6.2.5.4, que soluciona esta vulnerabilidad.
Jesús Cea Avión
jcea@hispasec.com
jcea@hispasec.com
Más información:
password exposure in fetchmailconf
http://fetchmail.berlios.de/fetchmail-SA-2005-02.txt
Fetchmail
http://fetchmail.berlios.de/
No hay comentarios:
Publicar un comentario