Vigil@nce : Mutt, man-in-the-middle via SSL
juin 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut se positionner en Man-in-the-middle, entre Mutt
et un serveur SMTP, afin de lire ou modifier les données échangées.
– Gravité : 1/4
– Date création : 13/06/2011
PRODUITS CONCERNÉS
– Fedora
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Le client de messagerie Mutt implémente un client SSL/TLS, qui est
activé par les directives de configuration ssl_starttls et
ssl_force_tls.
Cependant, lorsque Mutt initie une connexion HTTPS avec un
serveur, il ne vérifie pas si le nom de machine indiqué dans le
certificat X.509 serveur correspond au nom du serveur.
Un attaquant peut donc se positionner en Man-in-the-middle, entre
Mutt et un serveur SMTP, afin de lire ou modifier les données
échangées.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Mutt-man-in-the-middle-via-SSL-10726