Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut inviter la victime à se connecter avec fetchmail
sur un site TLS, afin de créer un déni de service.

Gravité : 2/4

Date création : 30/05/2011

PRODUITS CONCERNÉS

– Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Le programme fetchmail télécharge des emails depuis un serveur POP
ou IMAP. Le protocole peut être encapsulé dans TLS.

Lorsque le protocole IMAP/POP est encapsulé dans une session TLS
(RFC 2595), le client commence la session IMAP/POP avec un serveur
distant, puis entre la commande STARTTLS, qui démarre un tunnel
TLS à l’intérieur duquel la session IMAP/POP reprend.

Cependant, si le serveur distant ne répond plus après la réception
du STARTTLS, le client fetchmail ne déclenche aucun timeout, ce
qui provoque un déni de service.

Un attaquant peut donc inviter la victime à se connecter avec
fetchmail sur un site TLS, afin de créer un déni de service.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/fetchmail-deni-de-service-via-STARTTLS-10692