[LUG.ro] [Fetchmail] Error de Socket

Mey lugro@lugro.org.ar
Fri, 19 Jan 2007 13:21:21 -0300 

Sebas:
    Gracias por los links!!! ya habia leído algo al respecto..
    Igualmente PUDE SOLUCIONARLO!!!!
    Simplemente tuve que pasarle el parámetro -a (--fetchall si la 
versión de fetchmail es 3.x). De ésta forma utiliza el comando RETR en 
vez de TOP x 999999.
    Como siempre, trataré de armar un explicativo sobre el asunto y 
subirlo a mi blog
    Gracias por la ayuda!!!


MEY




Sebastián A. La Spina wrote:
> http://linuxmafia.com/faq/Mail/muas.html
> http://www.yolinux.com/TUTORIALS/LinuxTutorialMailMTA.html#MTA
> http://email.about.com/gi/dynamic/offsite.htm?zi=1/XJ&sdn=email&zu=http%3A%2F%2Fwww.chimera.co.nz%2Findex.html 
> <- VeryBiz!
>
> Y....  hay un POP3 TOP Overflow xploit ruleada por Snort. (quizas te 
> esten tildando de cracker!!):
> ----------
> Rule: POP3 TOP overflow attempt
>
> -- 
> Sid: 2109
> -- 
> Summary: This event is generated when an attempt is
> made to exploit a buffer overflow condition in the
> Post Office Protocol (POP) command TOP.
>
> -- 
> Impact: Possible remote execution of arbitrary code
> leading to a remote root
> compromise.
>
> -- 
> Detailed Information: A vulnerability exists such that
> an attacker may overflow a buffer by sending a line
> feed character to a POP server via the TOP command.
>
>
> -- 
> Affected Systems:
>
> -- 
> Attack Scenarios:
>
> -- 
> Ease of Attack:
>
> -- 
> False Positives: Some POP applications, such as
> Fetchmail will issue a "TOP 1 99999999" command after
> the POP session is established. The comments in the
> fetchmail pop3.c source code indicate this is done to
> avoid setting the "seen" flag on the mail servers.
> This action will trigger this alert.
> -- 
> False Negatives:
>
> -- 
> Corrective Action:
>
> -- 
> Contributors:
>
> Matthew Olney scacynwrig <at> yahoo <dot> com
>
> -- 
> Additional References:
>
> Here is a packet capture of the TOP command:
>
> 14:44:00.317518 x.x.x.x.2532 > y.y.y.y.pop3: P
> 54:70(16) ack 178 win 5840 (DF)
> 0x0000 4500 0038 c4b7 4000 3306 092c 043e b646
> E..8..@.3..,.>.F
> 0x0010 d8a8 e6af 09e4 006e 461f 475b ba3d 8ff6
> .......nF.G[.=..
> 0x0020 5018 16d0 7590 0000 544f 5020 3120 3939
> P...u...TOP.1.99
> 0x0030 3939 3939 3939 0d0a
> 999999..
> ----------
>
> Probaste de bajar los renglones? O revisar el #N-mail ?
> Saludos.-
>
> --------------------------------------------------
> Sebastián Augusto La Spina
> skype: sebastian.augusto
> registered linux user:147409 - www.counter.li.org
>
>
> ----- Original Message ----- From: "Mey" <linux@****.ar>
> To: <lugro@lu****.ar>
> Sent: Friday, January 19, 2007 11:06 AM
> Subject: Re: [LUG.ro] [Fetchmail] Error de Socket
>
>
>> Acabo de hablar con el Ingeniero del área de sistemas de éste 
>> proveedor...
>> Ellos utilizan un firewall que chequea los comandos y las conexiones 
>> a sus mailservers y es mas que probable que este cerrando la conexion 
>> cuando detecta el comando:
>>
>> TOP x 9999999
>>
>> Lamentablemente no me pueden dar una solución rápida ... así que me 
>> gustaría probar con reemplazar fetchmail.
>> Estoy leyendo sobre  Getmail pero no logro entender si va a poder 
>> enviar los mails que baja al MTA interno en vez de guardarlos en 
>> mailboxes locales (el linux lo montamos como gateway smtp y no 
>> deberia tenes los mailboxes).
>> Que otra alternativa conoces??
>> Gracias
>>
>> MEY
>>
>>
>>
>> Sebastián A. La Spina wrote:
>>> Me suena a problemas de puerto mas que de renglones....
>>>
>>>
>>> ----- Original Message ----- From: "Mey" <linux@****.ar>
>>> To: <lugro@****.ar>
>>> Sent: Friday, January 19, 2007 9:54 AM
>>> Subject: [LUG.ro] [Fetchmail] Error de Socket
>>>
>>>
>>>> Hola amigos... estoy usando fetchmail para bajar los correos de 
>>>> unos mailboxes que estan en una cooperativa, les hago un analisis 
>>>> antivirus y antispam y despues los enviçío al MTA interno.
>>>> Generalmente funca de 10... pero en un caso me tira éste error:
>>>>
>>>> servidor fetchmail[2178]: 3 messages for usuario at pop.server.com. 
>>>> servidor fetchmail[2178]: socket error while fetching from 
>>>> pop.server.com servidor fetchmail[2178]: Query status=2 (SOCKET)
>>>>
>>>> Googleando no encontré nada... solo suposiciones.
>>>>
>>>> Ahme puse a verificar (lanzando fetchmail en modo verbose) en otro 
>>>> server donde anda bien para comparar...
>>>> Pude determinar que cuando fetchmail va a bajar el correo envía el 
>>>> comando:
>>>>
>>>> TOP #nro-de-email 999999
>>>>
>>>> El numero 99999 indicaria la cantidad de renglones que deberia bajar.
>>>> En los muchos casos donde apliqué fetchmail nunca tuve problemas, 
>>>> pero en éste último servidor cierra la conexión cuando fetchmail le 
>>>> pasa ése comando.
>>>> Me conecté por smtp y pude verificar que si en vez de pasarle 
>>>> 999999 le paso 9999 la conexión no se cierra, por lo que calculo 
>>>> que fetchmail va a poder bajar los mails...
>>>>
>>>> la pregunta del millón:
>>>>
>>>> ¿¿¿Cómo hago para cambiár el parámetro en cuestión??? Estoy usando 
>>>> fetchmail 6.2.xxxx que está apeteable para debian sarge
>>>>
>>>>
>>>> Gracias por su tiempo!!!!
>>>>
>>>>
>>>> MEY
>>>>
>>>> _______________________________________________
>>>> Lugro mailing list
>>>> Lugro@lugro.org.ar
>>>> http://www.lugro.org.ar/mailman/listinfo/lugro
>>>
>>> _______________________________________________
>>> Lugro mailing list
>>> Lugro@lugro.org.ar
>>> http://www.lugro.org.ar/mailman/listinfo/lugro
>>>
>>>
>>
>> _______________________________________________
>> Lugro mailing list
>> Lugro@lugro.org.ar
>> http://www.lugro.org.ar/mailman/listinfo/lugro 
>
> _______________________________________________
> Lugro mailing list
> Lugro@lugro.org.ar
> http://www.lugro.org.ar/mailman/listinfo/lugro
>
>