Vigil@nce : fetchmail, obtention d’entêtes HTTP
septembre 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant, qui peut contrôler les connexions HTTPS de fetchmail
et qui dispose de bande passante suffisante, peut employer de
nombreuses sessions SSL afin de calculer les entêtes HTTP.
– Produits concernés : MES, Mandriva Linux, Unix (plateforme)
– Gravité : 1/4
– Date création : 03/09/2012
DESCRIPTION DE LA VULNÉRABILITÉ
Le bulletin VIGILANCE-VUL-11014 (https://vigilance.fr/arbre/1/11014)
décrit une vulnérabilité d’OpenSSL qui permet à un attaquant
d’obtenir des cookies HTTPS.
Cette vulnérabilité est corrigée dans les versions récentes
d’OpenSSL, cependant fetchmail emploie le champ de bits SSL_OP_ALL
qui désactive la protection.
Un attaquant, qui peut contrôler les connexions HTTPS de fetchmail
et qui dispose de bande passante suffisante, peut donc employer de
nombreuses sessions SSL afin de calculer les entêtes HTTP.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/fetchmail-obtention-d-entetes-HTTP-11913