Vigil@nce : Postfix, injection de commandes avec STARTTLS
mars 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Même si le client SMTP vérifie le certificat TLS du serveur de
messagerie, un attaquant peut injecter des commandes dans la
session.
– Gravité : 2/4
– Date création : 08/03/2011
PRODUITS CONCERNÉS
– Postfix
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Un attaquant peut se placer en Man-in-the-Middle entre un client
et un serveur SMTP pour y injecter des commandes. Les clients
utilisant TLS détectent cette attaque lorsqu’ils vérifient la
signature avec le certificat TLS fournit par le serveur.
Lorsque le protocole SMTP est encapsulé dans une session TLS (RFC
3207), le client commence la session SMTP en mode texte, puis
entre la commande STARTTLS, qui démarre un tunnel TLS à
l’intérieur duquel la session SMTP reprend.
Cependant, si un attaquant envoie une commande SMTP après le
STARTTLS, elle est dans le buffer de la session SMTP. Lorsque la
session reprend, la commande de l’attaquant est donc la première à
être interprétée. Cette erreur est due au buffer de réception qui
n’a pas été vidé avant de reprendre la session SMTP.
Même si le client SMTP vérifie le certificat TLS du serveur de
messagerie, un attaquant peut donc injecter des commandes dans la
session.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Postfix-injection-de-commandes-avec-STARTTLS-10428