Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - nginx : injection de commandes SMTP à travers le tunnel SSL

août 2014 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant capable d’intercepter le trafic et d’en injecter peut
insérer des commandes SMTP dans le relais de nginx, par exemple
afin d’obtenir des informations secrètes.

Produits concernés : nginx

Gravité : 1/4

Date création : 06/08/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit nginx dispose d’un relais SMTP, utilisable en
combinaison avec SSL.

La commande SMTP STARTTLS permet d’insérer un tunnel SSL entre la
connexion TCP et la connexion SMTP. Cependant, nginx ne
réinitialise pas les tampons de données échangées correctement
lors du traitement de cette commande.

Un attaquant capable d’intercepter le trafic et d’en injecter peut
donc insérer des commandes SMTP dans le relais de nginx, par
exemple afin d’obtenir des informations secrètes.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/nginx-injection-de-commandes-SMTP-a-travers-le-tunnel-SSL-15128


Voir les articles précédents

    

Voir les articles suivants