Fetchmail SSL证书显示远程堆溢出漏洞 CVE-2010-0562 CNNVD-201002-067

6.8 AV AC AU C I A
发布: 2010-02-08
修订: 2011-04-27

Fetchmail是免费的软件包,可以从远程POP2、POP3、IMAP、ETRN或ODMR服务器检索邮件并将其转发给本地SMTP、LMTP服务器或消息传送代理。 Fetchmail存在远程堆溢出漏洞。以verbose模式运行的fetchmail会向用户显示X.509证书的标题和发布者信息,为此要计算并分配一个malloc()缓冲区。如果所要显示的内容包含有设置了高位的字符且平台将char类型设置为有符型,由于不可打印字符转义为了\xFF..FFnn(nn为十六进制的80..FF),这可能会在sdump.c文件的sdump()函数中触发堆溢出,导致执行任意代码。

暂无可用Exp或PoC
当前有3条受影响产品信息