[LUG.ro] [Fetchmail] Error de Socket
Sebastián A. La Spina
lugro@lugro.org.ar
Fri, 19 Jan 2007 12:36:03 -0300
http://linuxmafia.com/faq/Mail/muas.html
http://www.yolinux.com/TUTORIALS/LinuxTutorialMailMTA.html#MTA
http://email.about.com/gi/dynamic/offsite.htm?zi=1/XJ&sdn=email&zu=http%3A%2F%2Fwww.chimera.co.nz%2Findex.html
<- VeryBiz!
Y.... hay un POP3 TOP Overflow xploit ruleada por Snort. (quizas te esten
tildando de cracker!!):
----------
Rule: POP3 TOP overflow attempt
--
Sid: 2109
--
Summary: This event is generated when an attempt is
made to exploit a buffer overflow condition in the
Post Office Protocol (POP) command TOP.
--
Impact: Possible remote execution of arbitrary code
leading to a remote root
compromise.
--
Detailed Information: A vulnerability exists such that
an attacker may overflow a buffer by sending a line
feed character to a POP server via the TOP command.
--
Affected Systems:
--
Attack Scenarios:
--
Ease of Attack:
--
False Positives: Some POP applications, such as
Fetchmail will issue a "TOP 1 99999999" command after
the POP session is established. The comments in the
fetchmail pop3.c source code indicate this is done to
avoid setting the "seen" flag on the mail servers.
This action will trigger this alert.
--
False Negatives:
--
Corrective Action:
--
Contributors:
Matthew Olney scacynwrig <at> yahoo <dot> com
--
Additional References:
Here is a packet capture of the TOP command:
14:44:00.317518 x.x.x.x.2532 > y.y.y.y.pop3: P
54:70(16) ack 178 win 5840 (DF)
0x0000 4500 0038 c4b7 4000 3306 092c 043e b646
E..8..@.3..,.>.F
0x0010 d8a8 e6af 09e4 006e 461f 475b ba3d 8ff6
.......nF.G[.=..
0x0020 5018 16d0 7590 0000 544f 5020 3120 3939
P...u...TOP.1.99
0x0030 3939 3939 3939 0d0a
999999..
----------
Probaste de bajar los renglones? O revisar el #N-mail ?
Saludos.-
--------------------------------------------------
Sebastián Augusto La Spina
skype: sebastian.augusto
registered linux user:147409 - www.counter.li.org
----- Original Message -----
From: "Mey" <linux@****.ar>
To: <lugro@lu****.ar>
Sent: Friday, January 19, 2007 11:06 AM
Subject: Re: [LUG.ro] [Fetchmail] Error de Socket
> Acabo de hablar con el Ingeniero del área de sistemas de éste proveedor...
> Ellos utilizan un firewall que chequea los comandos y las conexiones a sus
> mailservers y es mas que probable que este cerrando la conexion cuando
> detecta el comando:
>
> TOP x 9999999
>
> Lamentablemente no me pueden dar una solución rápida ... así que me
> gustaría probar con reemplazar fetchmail.
> Estoy leyendo sobre Getmail pero no logro entender si va a poder enviar
> los mails que baja al MTA interno en vez de guardarlos en mailboxes
> locales (el linux lo montamos como gateway smtp y no deberia tenes los
> mailboxes).
> Que otra alternativa conoces??
> Gracias
>
> MEY
>
>
>
> Sebastián A. La Spina wrote:
>> Me suena a problemas de puerto mas que de renglones....
>>
>>
>> ----- Original Message ----- From: "Mey" <linux@****.ar>
>> To: <lugro@****.ar>
>> Sent: Friday, January 19, 2007 9:54 AM
>> Subject: [LUG.ro] [Fetchmail] Error de Socket
>>
>>
>>> Hola amigos... estoy usando fetchmail para bajar los correos de unos
>>> mailboxes que estan en una cooperativa, les hago un analisis antivirus y
>>> antispam y despues los enviçío al MTA interno.
>>> Generalmente funca de 10... pero en un caso me tira éste error:
>>>
>>> servidor fetchmail[2178]: 3 messages for usuario at pop.server.com.
>>> servidor fetchmail[2178]: socket error while fetching from
>>> pop.server.com servidor fetchmail[2178]: Query status=2 (SOCKET)
>>>
>>> Googleando no encontré nada... solo suposiciones.
>>>
>>> Ahme puse a verificar (lanzando fetchmail en modo verbose) en otro
>>> server donde anda bien para comparar...
>>> Pude determinar que cuando fetchmail va a bajar el correo envía el
>>> comando:
>>>
>>> TOP #nro-de-email 999999
>>>
>>> El numero 99999 indicaria la cantidad de renglones que deberia bajar.
>>> En los muchos casos donde apliqué fetchmail nunca tuve problemas, pero
>>> en éste último servidor cierra la conexión cuando fetchmail le pasa ése
>>> comando.
>>> Me conecté por smtp y pude verificar que si en vez de pasarle 999999 le
>>> paso 9999 la conexión no se cierra, por lo que calculo que fetchmail va
>>> a poder bajar los mails...
>>>
>>> la pregunta del millón:
>>>
>>> ¿¿¿Cómo hago para cambiár el parámetro en cuestión??? Estoy usando
>>> fetchmail 6.2.xxxx que está apeteable para debian sarge
>>>
>>>
>>> Gracias por su tiempo!!!!
>>>
>>>
>>> MEY
>>>
>>> _______________________________________________
>>> Lugro mailing list
>>> Lugro@lugro.org.ar
>>> http://www.lugro.org.ar/mailman/listinfo/lugro
>>
>> _______________________________________________
>> Lugro mailing list
>> Lugro@lugro.org.ar
>> http://www.lugro.org.ar/mailman/listinfo/lugro
>>
>>
>
> _______________________________________________
> Lugro mailing list
> Lugro@lugro.org.ar
> http://www.lugro.org.ar/mailman/listinfo/lugro