Fetchmail
Уязвимости
9
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.03003
Распределение по критичности
Критический
0
Высокий
1
Средний
5
Низкий
3
Также сопоставлено как (исходные строки): fetchmail
Топ уязвимостей
CVE-2021-36386report_vbuild в report.c в Fetchmail до версии 6.4.20 иногда пропускает инициализацию аргумента vsnprintf va_list, что может позволить почтовым серверам вызвать отказ в обслуживании или, возможно, оказать другое неуказанное воздействие через длинные сообщения об ошибках. ПРИМЕЧАНИЕ: неясно, приводит ли использование Fetchmail на какой-либо реалистичной платформе к воздействию, выходящему за рамки неудобства для пользователя клиента.
CVE-2025-61962В fetchmail до версии 6.5.5 (и в предварительных версиях 7.0.0) SMTP‑клиент может завершить работу с ошибкой, когда при аутентификации получает ответ 334 без обязательного пробела. В этом случае клиент пытается читать данные по фиксированному адресу 0x1, что приводит к падению процесса (см. источник [1]). Уязвимость позволяет локальному пользователю без привилегий выполнить отказ службы или, комбинируя с другими механизмами, получить повышение привилегий.\n\nРешение: установить fetchmail 6.5.6 или более новую версию, либо применить патч в smtp.c (см. источник [2]).\n\nИсточники:\n- [1] https://www.openwall.com/lists/oss-security/2025/10/03/2\n- [2] https://www.fetchmail.info/fetchmail-SA-2025-01.txt\n- [3] https://gitlab.com/fetchmail/fetchmail/-/commit/4c3cebfa4e659fb778ca2cae0ccb3f69201609a8
CVE-2021-39272Fetchmail до версии 6.4.22 не обеспечивает принудительное шифрование сессии STARTTLS в некоторых обстоятельствах, таких как определенная ситуация с IMAP и PREAUTH.
CVE-2012-3482Fetchmail 5.0.8 через 6.3.21, при использовании аутентификации NTLM в режиме отладки, позволяет удаленным NTLM-серверам (1) вызывать отказ в обслуживании (сбой и задержка доставки входящей почты) через специально созданный NTLM-ответ, который вызывает чтение за пределами границ в декодере base64, или (2) получать конфиденциальную информацию из памяти через сообщение NTLM Type 2 со специально созданной структурой Target Name, которая вызывает чтение за пределами границ.
CVE-2009-2666socket.c в fetchmail до версии 6.3.11 неправильно обрабатывает символ '\0' в имени домена в поле Common Name (CN) сертификата X.509, что позволяет злоумышленникам, находящимся в середине соединения, подделывать произвольные SSL-серверы с помощью специально созданного сертификата, выданного законным центром сертификации, что является проблемой, связанной с CVE-2009-2408.
CVE-2010-0562Функция sdump в sdump.c в fetchmail 6.3.11, 6.3.12 и 6.3.13, при работе в подробном режиме на платформах, для которых char является знаковым, позволяет удаленным злоумышленникам вызвать отказ в обслуживании (сбой приложения) или, возможно, выполнить произвольный код через SSL X.509 сертификат, содержащий непечатаемые символы с установленным старшим битом, который вызывает переполнение буфера на основе кучи во время экранирования.
CVE-2011-1947fetchmail 5.9.9 до 6.3.19 неправильно ограничивает время ожидания после выдачи запроса (1) STARTTLS или (2) STLS, что позволяет удаленным серверам вызвать отказ в обслуживании (зависание приложения), подтверждая запрос, но не отправляя дополнительные пакеты.
CVE-2010-1167fetchmail 4.6.3 - 6.3.16, когда включен режим отладки, неправильно обрабатывает недопустимые символы в многосимвольной локали, что позволяет удаленным злоумышленникам вызвать отказ в обслуживании (потребление памяти и сбой приложения) через специально созданный (1) заголовок сообщения или (2) список POP3 UIDL.
CVE-2008-2711fetchmail 6.3.8 и более ранние версии, при работе в режиме -v -v (также известном как verbose), позволяют удаленным злоумышленникам вызывать отказ в обслуживании (сбой и постоянный сбой почты) через поврежденное почтовое сообщение с длинными заголовками, что вызывает ошибочное разыменование при использовании vsnprintf для форматирования сообщений журнала.