Fetchmail
Уязвимости
21
Эксплуатируемые
0
Макс. CVSS
7.8
Макс. EPSS
0.05882
Распределение по критичности
Критический
0
Высокий
6
Средний
9
Низкий
6
Также сопоставлено как (исходные строки): fetchmail
Топ уязвимостей
CVE-2006-5974fetchmail 6.3.5 и 6.3.6 до 6.3.6-rc4, когда отклоняет сообщение, доставленное через опцию mda, позволяет удаленным злоумышленникам вызвать отказ в обслуживании (сбой) через неизвестные векторы, которые вызывают разыменование нулевого указателя при вызове функций (1) ferror или (2) fflush.
CVE-2006-5867fetchmail до версии 6.3.6-rc4 неправильно обеспечивает соблюдение TLS и может передавать пароли в виде открытого текста по незащищенным каналам связи при определенных обстоятельствах, что позволяет удаленным злоумышленникам получать конфиденциальную информацию посредством атак типа "человек посередине" (MITM).
CVE-2005-4348fetchmail до 6.3.1 и до 6.2.5.5, при настройке в многопользовательском режиме, позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой приложения), отправляя сообщения без заголовков с вышестоящих почтовых серверов.
CVE-2021-36386report_vbuild в report.c в Fetchmail до версии 6.4.20 иногда пропускает инициализацию аргумента vsnprintf va_list, что может позволить почтовым серверам вызвать отказ в обслуживании или, возможно, оказать другое неуказанное воздействие через длинные сообщения об ошибках. ПРИМЕЧАНИЕ: неясно, приводит ли использование Fetchmail на какой-либо реалистичной платформе к воздействию, выходящему за рамки неудобства для пользователя клиента.
CVE-2002-1365Переполнение буфера на основе кучи в Fetchmail 6.1.3 и более ранних версиях не учитывает символ "@" при определении длины буфера для локальных адресов, что позволяет удаленным злоумышленникам выполнять произвольный код через заголовок с большим количеством локальных адресов.
CVE-2002-1174Переполнения буфера в Fetchmail 6.0.0 и более ранних версиях позволяют удаленным злоумышленникам вызывать отказ в обслуживании (сбой) или выполнять произвольный код через (1) длинные заголовки, которые неправильно обрабатываются функцией readheaders, или (2) через длинные заголовки Received:, которые неправильно анализируются функцией parse_received.
CVE-2025-61962В fetchmail до версии 6.5.5 (и в предварительных версиях 7.0.0) SMTP‑клиент может завершить работу с ошибкой, когда при аутентификации получает ответ 334 без обязательного пробела. В этом случае клиент пытается читать данные по фиксированному адресу 0x1, что приводит к падению процесса (см. источник [1]). Уязвимость позволяет локальному пользователю без привилегий выполнить отказ службы или, комбинируя с другими механизмами, получить повышение привилегий.\n\nРешение: установить fetchmail 6.5.6 или более новую версию, либо применить патч в smtp.c (см. источник [2]).\n\nИсточники:\n- [1] https://www.openwall.com/lists/oss-security/2025/10/03/2\n- [2] https://www.fetchmail.info/fetchmail-SA-2025-01.txt\n- [3] https://gitlab.com/fetchmail/fetchmail/-/commit/4c3cebfa4e659fb778ca2cae0ccb3f69201609a8
CVE-2021-39272Fetchmail до версии 6.4.22 не обеспечивает принудительное шифрование сессии STARTTLS в некоторых обстоятельствах, таких как определенная ситуация с IMAP и PREAUTH.
CVE-2012-3482Fetchmail 5.0.8 через 6.3.21, при использовании аутентификации NTLM в режиме отладки, позволяет удаленным NTLM-серверам (1) вызывать отказ в обслуживании (сбой и задержка доставки входящей почты) через специально созданный NTLM-ответ, который вызывает чтение за пределами границ в декодере base64, или (2) получать конфиденциальную информацию из памяти через сообщение NTLM Type 2 со специально созданной структурой Target Name, которая вызывает чтение за пределами границ.
CVE-2006-0321fetchmail 6.3.0 и другие версии до 6.3.2 позволяют удаленным злоумышленникам вызвать отказ в обслуживании (сбой) через специально созданные сообщения электронной почты, которые вызывают освобождение недействительного указателя, когда fetchmail возвращает сообщение отправителю или локальному почтовому администратору.
CVE-2005-2335Переполнение буфера в POP3-клиенте в Fetchmail до 6.2.5.2 позволяет удаленным POP3-серверам вызвать отказ в обслуживании и, возможно, выполнить произвольный код через длинные ответы UIDL. ПРИМЕЧАНИЕ: опечатка в рекомендации случайно использовала неправильный идентификатор CVE для проблемы Fetchmail. Это правильный идентификатор.
CVE-2003-0792Fetchmail 6.2.4 и более ранние версии неправильно выделяют память для длинных строк, что позволяет удаленным злоумышленникам вызвать отказ в обслуживании (сбой) через определенное электронное письмо.
CVE-2002-1175Функция getmxrecord в Fetchmail 6.0.0 и более ранних версиях неправильно проверяет границу определенного неправильно сформированного DNS-пакета от вредоносного DNS-сервера, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой), когда Fetchmail пытается прочитать данные за пределами ожидаемой границы.
CVE-2009-2666socket.c в fetchmail до версии 6.3.11 неправильно обрабатывает символ '\0' в имени домена в поле Common Name (CN) сертификата X.509, что позволяет злоумышленникам, находящимся в середине соединения, подделывать произвольные SSL-серверы с помощью специально созданного сертификата, выданного законным центром сертификации, что является проблемой, связанной с CVE-2009-2408.
CVE-2010-0562Функция sdump в sdump.c в fetchmail 6.3.11, 6.3.12 и 6.3.13, при работе в подробном режиме на платформах, для которых char является знаковым, позволяет удаленным злоумышленникам вызвать отказ в обслуживании (сбой приложения) или, возможно, выполнить произвольный код через SSL X.509 сертификат, содержащий непечатаемые символы с установленным старшим битом, который вызывает переполнение буфера на основе кучи во время экранирования.
CVE-2011-1947fetchmail 5.9.9 до 6.3.19 неправильно ограничивает время ожидания после выдачи запроса (1) STARTTLS или (2) STLS, что позволяет удаленным серверам вызвать отказ в обслуживании (зависание приложения), подтверждая запрос, но не отправляя дополнительные пакеты.
CVE-2010-1167fetchmail 4.6.3 - 6.3.16, когда включен режим отладки, неправильно обрабатывает недопустимые символы в многосимвольной локали, что позволяет удаленным злоумышленникам вызвать отказ в обслуживании (потребление памяти и сбой приложения) через специально созданный (1) заголовок сообщения или (2) список POP3 UIDL.
CVE-2008-2711fetchmail 6.3.8 и более ранние версии, при работе в режиме -v -v (также известном как verbose), позволяют удаленным злоумышленникам вызывать отказ в обслуживании (сбой и постоянный сбой почты) через поврежденное почтовое сообщение с длинными заголовками, что вызывает ошибочное разыменование при использовании vsnprintf для форматирования сообщений журнала.
CVE-2007-4565sink.c в fetchmail до версии 6.3.9 позволяет злоумышленникам, зависящим от контекста, вызывать отказ в обслуживании (NULL dereference и сбой приложения), отказываясь от определенных предупреждающих сообщений, отправляемых через SMTP.
CVE-2007-1558Протокол APOP позволяет удаленным злоумышленникам угадывать первые 3 символа пароля через атаки "человек посередине" (MITM), которые используют поддельные идентификаторы сообщений и коллизии MD5. ПРИМЕЧАНИЕ: эта проблема на уровне проектирования потенциально затрагивает все продукты, использующие APOP, включая (1) Thunderbird 1.x до 1.5.0.12 и 2.x до 2.0.0.4, (2) Evolution, (3) mutt, (4) fetchmail до 6.3.8, (5) SeaMonkey 1.0.x до 1.0.9 и 1.1.x до 1.1.2, (6) Balsa 2.3.16 и более ранние версии, (7) Mailfilter до 0.8.2 и, возможно, другие продукты.
CVE-2005-3088fetchmailconf до 1.49 в fetchmail 6.2.0, 6.2.5 и 6.2.5.2 создает файлы конфигурации с небезопасными разрешениями для чтения всем миром, что позволяет локальным пользователям получать конфиденциальную информацию, такую как пароли.