Las versiones de QPOPPER previas a la 4.0.5 son susceptibles a un
desbordamiento de búfer que permite la ejecución de código arbitrario en
el servidor POP3.

QPOPPER es un servidor POP3 (protocolo de recepción de correo
electrónico en las máquinas de los usuarios) muy popular, distribuido de
forma gratuita y con código fuente.

Las versiones de QPOPPER anteriores a la 4.0.5 son susceptibles a un
ataque de desbordamiento de búfer que permite que un usuario malicioso
ejecute código arbitrario en el servidor POP3. El atacante debe disponer
de un nombre de usuario y contraseña válida, y el código se ejecutará
con los privilegios de dicho usuario y, dependiendo de la configuración
del sistema, con los privilegios adicionales del grupo "mail".

La vulnerabilidad radica en la función "Qvsnprintf()", utilizada a modo
de "vsnprintf()" en todos los sistemas, incluso aquellos en los que se
dispone de la función "vsnprintf()" nativa. Esta función construye una
cadena, recortándola apropiadamente si supera un tamaño determinado. La
vulnerabilidad radica, precisamente, en el "recorte" incorrecto de las
cadenas demasiado largas, dejando el búfer sin finalizar correctamente.
Si se intenta concatenar una nueva cadena en dicho búfer mal finalizado,
se produce una sobreescritura de memoria que, dependiendo de la
plataforma, la compilación y demás circunstancias del entorno, puede
utilizarse para ejecutar código arbitrario en el servidor POP3.

Existe, al menos, un ataque factible a través del comando "MDEF", cuyo
"exploit" está disponible desde hace días.

La recomendación de Hispasec es actualizar cuanto antes a la versión
4.0.5 del servidor QPOPPER, disponible desde hace unas horas en el FTP
del fabricante.