S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 10 mars 2011
N° CERTA-2011-AVI-146
Affaire suivie par: CERT-FR
le 10 mars 2011

Avis du CERT-FR

Objet: Vulnérabilité dans Postfix

Gestion du document

Référence CERTA-2011-AVI-146
Titre Vulnérabilité dans Postfix
Date de la première version 10 mars 2011
Date de la dernière version 10 mars 2011
Source(s) Bulletin de mise à jour Postfix du 7 mars 2011
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Atteinte à l'intégrité des données.

Systèmes affectés

  • Postfix versions 2.7.x strictement inférieures à 2.7.3 ;
  • Postfix versions 2.6.x strictement inférieures à 2.6.9 ;
  • Postfix versions 2.5.x strictement inférieures à 2.5.12 ;
  • Postfix versions 2.4.x strictement inférieures à 2.4.16.

Résumé

Une vulnérabilité dans la gestion du protocole TLS permet à un attaquant d'insérer des commandes dans les communications SMTP d'une victime.

Description

Il est possible à un attaquant en position d'interception (man in the middle) d'insérer des commandes SMTP lorsqu'un client souhaite utiliser une connexion sécurisée au moyen de la commande STARTTLS, qui est un message transmis en clair. Ces commandes sont alors interprétées par le serveur dans le contexte d'une connexion sécurisée.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 10 mars 2011
    version initiale.