13 results (0.005 seconds)

CVSS: 5.9EPSS: 0%CPEs: 4EXPL: 0

Fetchmail before 6.4.22 fails to enforce STARTTLS session encryption in some circumstances, such as a certain situation with IMAP and PREAUTH. Fetchmail versiones anteriores a 6.4.22, no puede aplicar el cifrado de sesión STARTTLS en determinadas circunstancias, como una situación con IMAP y PREAUTH. • http://www.openwall.com/lists/oss-security/2021/08/27/3 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/L3XJ6XLEJCEZCAM5LGGD6XBCC522QLG4 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VXMKSEHAQSEDCWZMAOJEGX3P3JW6QY6H https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZYCYLL73NP7ALJWSDICIVSA47ZIXWSSA https://nostarttls.secvuln.info https://security.gentoo.org/glsa/202209-14 https://www.fetchmail.info • CWE-319: Cleartext Transmission of Sensitive Information •

CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0

report_vbuild in report.c in Fetchmail before 6.4.20 sometimes omits initialization of the vsnprintf va_list argument, which might allow mail servers to cause a denial of service or possibly have unspecified other impact via long error messages. NOTE: it is unclear whether use of Fetchmail on any realistic platform results in an impact beyond an inconvenience to the client user. Una función report_vbuild en el archivo report.c en Fetchmail versiones anteriores a 6.4.20, a veces omite la inicialización del argumento vsnprintf va_list, lo que podría permitir a servidores de correo causar una denegación de servicio o posiblemente tener otro impacto no especificado por medio de largos mensajes de error. NOTA: no está claro si el uso de Fetchmail en cualquier plataforma realista presenta un impacto más allá de un inconveniente para el usuario cliente A flaw was found in fetchmail. The flaw lies in how fetchmail when running in verbose mode using the -v flag tries to log long messages that are created from long headers. • http://www.openwall.com/lists/oss-security/2021/07/28/5 http://www.openwall.com/lists/oss-security/2021/08/09/1 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/AGYO5AHSXTCKA4NQC2Z4H3XMMYNAGC77 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/OIXKO6QW3AUHGJVWKJXBCOVBYJUJRBFC https://security.gentoo.org/glsa/202209-14 https://www.fetchmail.info/fetchmail-SA-2021-01.txt https://www.fetchmail.info/security.html https:/ • CWE-665: Improper Initialization CWE-909: Missing Initialization of Resource •

CVSS: 5.8EPSS: 0%CPEs: 93EXPL: 0

Fetchmail 5.0.8 through 6.3.21, when using NTLM authentication in debug mode, allows remote NTLM servers to (1) cause a denial of service (crash and delayed delivery of inbound mail) via a crafted NTLM response that triggers an out-of-bounds read in the base64 decoder, or (2) obtain sensitive information from memory via an NTLM Type 2 message with a crafted Target Name structure, which triggers an out-of-bounds read. Fetchmail v5.0.8 hasta v6.3.21, cuando se utiliza la autenticación NTLM en modo de depuración, permite a servidores remotos NTLM (1) causar una denegación de servicio (caída y retraso en la entrega de correo entrante) a través de una respuesta NTLM manipulada que desencadena una lectura fuera de limites en el decodificador base64, o (2) obtener información confidencial de la memoria a través de un mensaje tipo NTLM 2 con una estructura Target Name modificada, lo que desencadena una lectura fuera de limites. • http://lists.fedoraproject.org/pipermail/package-announce/2012-October/088836.html http://lists.fedoraproject.org/pipermail/package-announce/2012-October/088871.html http://seclists.org/oss-sec/2012/q3/230 http://seclists.org/oss-sec/2012/q3/232 http://www.fetchmail.info/fetchmail-SA-2012-02.txt http://www.securityfocus.com/bid/54987 https://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_fetchmail •

CVSS: 5.0EPSS: 1%CPEs: 52EXPL: 0

fetchmail 5.9.9 through 6.3.19 does not properly limit the wait time after issuing a (1) STARTTLS or (2) STLS request, which allows remote servers to cause a denial of service (application hang) by acknowledging the request but not sending additional packets. fetchmail v5.9.9 a la v6.3.19 no limita correctamente el tiempo de espera después de la emisión de una solicitud (1) STARTTLS o (2) STLS, lo que permite a los servidores remotos provocar una denegación de servicio (bloqueo de la aplicación) al hacer un ACK de la solicitud y no enviando posteriormente paquetes adicionales. • http://gitorious.org/fetchmail/fetchmail/blobs/legacy_63/fetchmail-SA-2011-01.txt http://lists.fedoraproject.org/pipermail/package-announce/2011-June/061634.html http://lists.fedoraproject.org/pipermail/package-announce/2011-June/061672.html http://lists.fedoraproject.org/pipermail/package-announce/2011-June/061735.html http://openwall.com/lists/oss-security/2011/05/30/1 http://openwall.com/lists/oss-security/2011/05/31/12 http://openwall.com/lists/oss-security/2011/05/31/17 http:&# • CWE-399: Resource Management Errors •

CVSS: 4.3EPSS: 1%CPEs: 112EXPL: 0

fetchmail 4.6.3 through 6.3.16, when debug mode is enabled, does not properly handle invalid characters in a multi-character locale, which allows remote attackers to cause a denial of service (memory consumption and application crash) via a crafted (1) message header or (2) POP3 UIDL list. fetchmail v4.6.3 hasta v6.3.16, cuando el modo depuración está activo, no maneja de forma adecuada los caracteres inválidos en un multicaracter locale, lo que permite a atacantes provocar una denegación de servicio (consumo de memoria y caída de aplicación) a través de (1) cabecera de mensaje manipulada o (2) lista POP3 UIDL manipulada. • http://developer.berlios.de/project/shownotes.php?group_id=1824&release_id=17512 http://www.fetchmail.info/fetchmail-SA-2010-02.txt http://www.mandriva.com/security/advisories?name=MDVSA-2011:107 http://www.securityfocus.com/archive/1/511140/100/0/threaded http://www.securityfocus.com/bid/39556 • CWE-20: Improper Input Validation •