[LUG.ro] [Fetchmail] Error de Socket
Mey
lugro@lugro.org.ar
Mon, 22 Jan 2007 19:36:05 -0300
Lo prometido es deuda...
Acá les dejo el link para ver la solución del asunto:
http://mey-online.com.ar/blog/?p=22
Saludos
MEY
Mey wrote:
> Sebas:
> Gracias por los links!!! ya habia leído algo al respecto..
> Igualmente PUDE SOLUCIONARLO!!!!
> Simplemente tuve que pasarle el parámetro -a (--fetchall si la
> versión de fetchmail es 3.x). De ésta forma utiliza el comando RETR en
> vez de TOP x 999999.
> Como siempre, trataré de armar un explicativo sobre el asunto y
> subirlo a mi blog
> Gracias por la ayuda!!!
>
>
> MEY
>
>
>
>
> Sebastián A. La Spina wrote:
>> http://linuxmafia.com/faq/Mail/muas.html
>> http://www.yolinux.com/TUTORIALS/LinuxTutorialMailMTA.html#MTA
>> http://email.about.com/gi/dynamic/offsite.htm?zi=1/XJ&sdn=email&zu=http%3A%2F%2Fwww.chimera.co.nz%2Findex.html
>> <- VeryBiz!
>>
>> Y.... hay un POP3 TOP Overflow xploit ruleada por Snort. (quizas te
>> esten tildando de cracker!!):
>> ----------
>> Rule: POP3 TOP overflow attempt
>>
>> --
>> Sid: 2109
>> --
>> Summary: This event is generated when an attempt is
>> made to exploit a buffer overflow condition in the
>> Post Office Protocol (POP) command TOP.
>>
>> --
>> Impact: Possible remote execution of arbitrary code
>> leading to a remote root
>> compromise.
>>
>> --
>> Detailed Information: A vulnerability exists such that
>> an attacker may overflow a buffer by sending a line
>> feed character to a POP server via the TOP command.
>>
>>
>> --
>> Affected Systems:
>>
>> --
>> Attack Scenarios:
>>
>> --
>> Ease of Attack:
>>
>> --
>> False Positives: Some POP applications, such as
>> Fetchmail will issue a "TOP 1 99999999" command after
>> the POP session is established. The comments in the
>> fetchmail pop3.c source code indicate this is done to
>> avoid setting the "seen" flag on the mail servers.
>> This action will trigger this alert.
>> --
>> False Negatives:
>>
>> --
>> Corrective Action:
>>
>> --
>> Contributors:
>>
>> Matthew Olney scacynwrig <at> yahoo <dot> com
>>
>> --
>> Additional References:
>>
>> Here is a packet capture of the TOP command:
>>
>> 14:44:00.317518 x.x.x.x.2532 > y.y.y.y.pop3: P
>> 54:70(16) ack 178 win 5840 (DF)
>> 0x0000 4500 0038 c4b7 4000 3306 092c 043e b646
>> E..8..@.3..,.>.F
>> 0x0010 d8a8 e6af 09e4 006e 461f 475b ba3d 8ff6
>> .......nF.G[.=..
>> 0x0020 5018 16d0 7590 0000 544f 5020 3120 3939
>> P...u...TOP.1.99
>> 0x0030 3939 3939 3939 0d0a
>> 999999..
>> ----------
>>
>> Probaste de bajar los renglones? O revisar el #N-mail ?
>> Saludos.-
>>
>> --------------------------------------------------
>> Sebastián Augusto La Spina
>> skype: sebastian.augusto
>> registered linux user:147409 - www.counter.li.org
>>
>>
>> ----- Original Message ----- From: "Mey" <linux@****.ar>
>> To: <lugro@lu****.ar>
>> Sent: Friday, January 19, 2007 11:06 AM
>> Subject: Re: [LUG.ro] [Fetchmail] Error de Socket
>>
>>
>>> Acabo de hablar con el Ingeniero del área de sistemas de éste
>>> proveedor...
>>> Ellos utilizan un firewall que chequea los comandos y las conexiones
>>> a sus mailservers y es mas que probable que este cerrando la
>>> conexion cuando detecta el comando:
>>>
>>> TOP x 9999999
>>>
>>> Lamentablemente no me pueden dar una solución rápida ... así que me
>>> gustaría probar con reemplazar fetchmail.
>>> Estoy leyendo sobre Getmail pero no logro entender si va a poder
>>> enviar los mails que baja al MTA interno en vez de guardarlos en
>>> mailboxes locales (el linux lo montamos como gateway smtp y no
>>> deberia tenes los mailboxes).
>>> Que otra alternativa conoces??
>>> Gracias
>>>
>>> MEY
>>>
>>>
>>>
>>> Sebastián A. La Spina wrote:
>>>> Me suena a problemas de puerto mas que de renglones....
>>>>
>>>>
>>>> ----- Original Message ----- From: "Mey" <linux@****.ar>
>>>> To: <lugro@****.ar>
>>>> Sent: Friday, January 19, 2007 9:54 AM
>>>> Subject: [LUG.ro] [Fetchmail] Error de Socket
>>>>
>>>>
>>>>> Hola amigos... estoy usando fetchmail para bajar los correos de
>>>>> unos mailboxes que estan en una cooperativa, les hago un analisis
>>>>> antivirus y antispam y despues los enviçío al MTA interno.
>>>>> Generalmente funca de 10... pero en un caso me tira éste error:
>>>>>
>>>>> servidor fetchmail[2178]: 3 messages for usuario at
>>>>> pop.server.com. servidor fetchmail[2178]: socket error while
>>>>> fetching from pop.server.com servidor fetchmail[2178]: Query
>>>>> status=2 (SOCKET)
>>>>>
>>>>> Googleando no encontré nada... solo suposiciones.
>>>>>
>>>>> Ahme puse a verificar (lanzando fetchmail en modo verbose) en otro
>>>>> server donde anda bien para comparar...
>>>>> Pude determinar que cuando fetchmail va a bajar el correo envía el
>>>>> comando:
>>>>>
>>>>> TOP #nro-de-email 999999
>>>>>
>>>>> El numero 99999 indicaria la cantidad de renglones que deberia bajar.
>>>>> En los muchos casos donde apliqué fetchmail nunca tuve problemas,
>>>>> pero en éste último servidor cierra la conexión cuando fetchmail
>>>>> le pasa ése comando.
>>>>> Me conecté por smtp y pude verificar que si en vez de pasarle
>>>>> 999999 le paso 9999 la conexión no se cierra, por lo que calculo
>>>>> que fetchmail va a poder bajar los mails...
>>>>>
>>>>> la pregunta del millón:
>>>>>
>>>>> ¿¿¿Cómo hago para cambiár el parámetro en cuestión??? Estoy usando
>>>>> fetchmail 6.2.xxxx que está apeteable para debian sarge
>>>>>
>>>>>
>>>>> Gracias por su tiempo!!!!
>>>>>
>>>>>
>>>>> MEY
>>>>>
>>>>> _______________________________________________
>>>>> Lugro mailing list
>>>>> Lugro@lugro.org.ar
>>>>> http://www.lugro.org.ar/mailman/listinfo/lugro
>>>>
>>>> _______________________________________________
>>>> Lugro mailing list
>>>> Lugro@lugro.org.ar
>>>> http://www.lugro.org.ar/mailman/listinfo/lugro
>>>>
>>>>
>>>
>>> _______________________________________________
>>> Lugro mailing list
>>> Lugro@lugro.org.ar
>>> http://www.lugro.org.ar/mailman/listinfo/lugro
>>
>> _______________________________________________
>> Lugro mailing list
>> Lugro@lugro.org.ar
>> http://www.lugro.org.ar/mailman/listinfo/lugro
>>
>>
>
> _______________________________________________
> Lugro mailing list
> Lugro@lugro.org.ar
> http://www.lugro.org.ar/mailman/listinfo/lugro
>
>