Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : fetchmail, troncature X.509 avec nul

août 2009 par Vigil@nce

Un attaquant peut inviter la victime à se connecter avec fetchmail
sur un site SSL employant un certificat X.509 avec un Common Name
contenant un caractère nul, afin de tromper la victime.

Gravité : 2/4

Conséquences : lecture de données

Provenance : serveur internet

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 06/08/2009

PRODUITS CONCERNÉS

 Debian Linux
 Mandriva Corporate
 Mandriva Enterprise Server
 Mandriva Linux
 Slackware Linux
 Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Le programme fetchmail télécharge des emails depuis un serveur POP
ou IMAP et les délivre selon sa configuration.

Lorsque fetchmail se connecte sur un serveur utilisant un
certificat X.509 contenant un caractère nul, le champ est tronqué.

Un attaquant peut donc inviter la victime à se connecter avec
fetchmail sur un site SSL employant un certificat X.509 avec un
Common Name contenant un caractère nul, afin de tromper la victime.

Cette vulnérabilité est similaire à VIGILANCE-VUL-8908
(https://vigilance.fr/arbre/1/8908), même si le code source à
l’origine de cette erreur est différent.

CARACTÉRISTIQUES

Références : BID-35951, CVE-2009-2666, DSA 1852-1,
fetchmail-SA-2009-01, MDVSA-2009:201, SSA:2009-218-01,
VIGILANCE-VUL-8919

http://vigilance.fr/vulnerabilite/fetchmail-troncature-X-509-avec-nul-8919


Voir les articles précédents

    

Voir les articles suivants