Vulnerabilidad en socket.c en fetchmail (CVE-2009-2666)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-310
Errores criptográficos
Fecha de publicación:
07/08/2009
Última modificación:
09/04/2025
Descripción
socket.c en fetchmail antes de v6.3.11 no maneja correctamente un caracter '\ 0' en el nombre de dominio en el campo Common Name (CN) de un certificado X.509, lo cual permite a atacacantes hombre-en-el-medio (man-in-the-middle) suplantar servidores SSL a su elección a través de certificados manipulados expedidos por una Autoridad de Certificación (CA) legítima, una cuestión relacionada con CVE-2009-2408.
Impacto
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:fetchmail:fetchmail:*:*:*:*:*:*:*:* | 6.3.10 (incluyendo) | |
| cpe:2.3:a:fetchmail:fetchmail:4.5.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:fetchmail:fetchmail:4.5.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:fetchmail:fetchmail:4.5.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:fetchmail:fetchmail:4.5.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:fetchmail:fetchmail:4.5.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:fetchmail:fetchmail:4.5.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:fetchmail:fetchmail:4.5.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:fetchmail:fetchmail:4.5.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:fetchmail:fetchmail:4.6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:fetchmail:fetchmail:4.6.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:fetchmail:fetchmail:4.6.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:fetchmail:fetchmail:4.6.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:fetchmail:fetchmail:4.6.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:fetchmail:fetchmail:4.6.5:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://fetchmail.berlios.de/fetchmail-SA-2009-01.txt
- http://lists.apple.com/archives/security-announce/2009/Nov/msg00000.html
- http://marc.info/?l=oss-security&m=124949601207156&w=2
- http://osvdb.org/56855
- http://secunia.com/advisories/36175
- http://secunia.com/advisories/36179
- http://secunia.com/advisories/36236
- http://support.apple.com/kb/HT3937
- http://www.debian.org/security/2009/dsa-1852
- http://www.mandriva.com/security/advisories?name=MDVSA-2009%3A201
- http://www.securityfocus.com/archive/1/505530/100/0/threaded
- http://www.securityfocus.com/bid/35951
- http://www.securitytracker.com/id?1022679=
- http://www.slackware.com/security/viewer.php?l=slackware-security&y=2009&m=slackware-security.543463
- http://www.vupen.com/english/advisories/2009/2155
- http://www.vupen.com/english/advisories/2009/3184
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A11059
- http://fetchmail.berlios.de/fetchmail-SA-2009-01.txt
- http://lists.apple.com/archives/security-announce/2009/Nov/msg00000.html
- http://marc.info/?l=oss-security&m=124949601207156&w=2
- http://osvdb.org/56855
- http://secunia.com/advisories/36175
- http://secunia.com/advisories/36179
- http://secunia.com/advisories/36236
- http://support.apple.com/kb/HT3937
- http://www.debian.org/security/2009/dsa-1852
- http://www.mandriva.com/security/advisories?name=MDVSA-2009%3A201
- http://www.securityfocus.com/archive/1/505530/100/0/threaded
- http://www.securityfocus.com/bid/35951
- http://www.securitytracker.com/id?1022679=
- http://www.slackware.com/security/viewer.php?l=slackware-security&y=2009&m=slackware-security.543463
- http://www.vupen.com/english/advisories/2009/2155
- http://www.vupen.com/english/advisories/2009/3184
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A11059