Vigil@nce - Python : blocage de TLS dans smtplib
juillet 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut faire échouer l’activation du chiffrement TLS
de la bibliothèque smtplib de Python, afin de lire les courriers
envoyés.
– Produits concernés : Debian, Fedora, Python.
– Gravité : 1/4.
– Date création : 16/06/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le bibliothèque de Python comprend un client SMTP.
Cette bibliothèque active un tunnel TLS. Cependant, elle ne
vérifie pas le code de retour de la commande STARTTLS et accepte
de continuer en clair. Un attaquant pouvant intercepter le trafic
peut donc insérer un rejet de la commande STARTTLS, ce qui
désactive le chiffrement.
Un attaquant peut donc faire échouer l’activation du chiffrement
TLS de la bibliothèque smtplib de Python, afin de lire les
courriers envoyés.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/Python-blocage-de-TLS-dans-smtplib-19915