Eric S. Raymond Fetchmail 5.9.0 und 6.2.4 spezielle Email Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.2 | $0-$5k | 0.00 |
Zusammenfassung
In Eric S. Raymond Fetchmail 5.9.0/6.2.4 wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Es ist betroffen eine unbekannte Funktion der Komponente Email Handler. Durch Manipulation mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird unter CVE-2003-0792 geführt. Es ist möglich, den Angriff aus der Ferne durchzuführen. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
Fetchmail von Eric S. Raymond ist ein ein Utility für Unix-Systeme, mit dem Emails abgeholt und für die lokale Betrachtung vorbereitet werden können. Es wird aufgrund seiner Einfachheit und Schlichtheit gerne von Puristen eingesetzt, die nicht viel mit grafischen Oberflächen und pompösen Mail-Clients anfangen können. Über eine spezielle Email, die von fetchmail verarbeitet werden soll, kann ein Angreifer einen Denial of Service-Attacke hervorrufen. Es sind keine weiteren Details zur Sicherheitslücke bekannt. Der Fehler wurde in der Version 6.2.5 der Software behoben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (13450), Tenable (14083), SecurityFocus (BID 8843†), OSVDB (2699†) und Secunia (SA10025†) dokumentiert. Weitere Informationen werden unter securityfocus.com bereitgestellt. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Für den Vulnerability Scanner Nessus wurde am 31.07.2004 ein Plugin mit der ID 14083 (Mandrake Linux Security Advisory : fetchmail (MDKSA-2003:101)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Mandriva Local Security Checks zugeordnet und im Kontext l ausgeführt.
Obschon sich fetchmail auch heute noch grösster Beliebtheit unter Puristen erfreut, wird diese Angriffsmöglichkeit aufgrund der Restriktionen keinen Platz im Olymp der populärsten Angriffsmethoden erhaschen können. Wer fetchmail gut und gerne einsetzt sowie auf dessen Funktionalität angewiesen ist, sollte eine aktuelle Version einspielen, um Skript-Kiddies keine Möglichkeit für ihre Spässchen zu geben.
Produkt
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.5VulDB Meta Temp Score: 7.2
VulDB Base Score: 7.5
VulDB Temp Score: 7.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 14083
Nessus Name: Mandrake Linux Security Advisory : fetchmail (MDKSA-2003:101)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 53880
OpenVAS Name: Slackware Advisory SSA:2003-300-02 fetchmail security update
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: catb.org
Timeline
17.09.2003 🔍16.10.2003 🔍
16.10.2003 🔍
16.10.2003 🔍
20.10.2003 🔍
20.10.2003 🔍
23.10.2003 🔍
17.11.2003 🔍
17.11.2003 🔍
25.02.2004 🔍
31.07.2004 🔍
24.07.2005 🔍
08.03.2021 🔍
Quellen
Advisory: mandrakesecure.netPerson: This issue was disclosed by Mandrake Linux. (LINUX)
Firma: Madrake
Status: Nicht definiert
CVE: CVE-2003-0792 (🔍)
GCVE (CVE): GCVE-0-2003-0792
GCVE (VulDB): GCVE-100-339
X-Force: 13450 - Fetchmail email denial of service, Medium Risk
SecurityFocus: 8843 - Eric S. Raymond Fetchmail Unspecified Denial of Service Vulnerability
Secunia: 10025 - fetchmail Denial of Service Vulnerability, Less Critical
OSVDB: 2699 - Fetchmail Email Long Line Handling DoS
Vulnerability Center: 8626 - DoS in Fetchmail <= 6.2.4 via Long Lines, Medium
TecChannel: 1281 [404 Not Found]
Diverses: 🔍
Eintrag
Erstellt: 20.10.2003 18:42Aktualisierung: 08.03.2021 19:05
Anpassungen: 20.10.2003 18:42 (95), 26.06.2019 18:30 (2), 08.03.2021 19:05 (3)
Komplett: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.