Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - nginx : injection de commandes SMTP à travers le tunnel SSL

août 2014 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant capable d’intercepter le trafic et d’en injecter peut insérer des commandes SMTP dans le relais de nginx, par exemple afin d’obtenir des informations secrètes.

Produits concernés : nginx

Gravité : 1/4

Date création : 06/08/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit nginx dispose d’un relais SMTP, utilisable en combinaison avec SSL.

La commande SMTP STARTTLS permet d’insérer un tunnel SSL entre la connexion TCP et la connexion SMTP. Cependant, nginx ne réinitialise pas les tampons de données échangées correctement lors du traitement de cette commande.

Un attaquant capable d’intercepter le trafic et d’en injecter peut donc insérer des commandes SMTP dans le relais de nginx, par exemple afin d’obtenir des informations secrètes.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/n...




Voir les articles précédents

    

Voir les articles suivants