Összefoglaló
Az Ipswitch IMail Server olyan sérülékenységét jelentették, melyet a támadók kihasználhatnak bizonyos adatok megváltoztatására.
Leírás
A sérülékenységet az okozza, hogy a TLS megvalósítás nem törli megfelelően a szállítási réteg puffereit, amikor az egyszerű szövegről titkosítottra váltanak a kapott “STARTTLS” parancs alapján. Ez kihasználható tetszőleges egyszerű szöveges adatok beszúrására (pl. SMTP parancsok) az egyszerű szöveges fázis alatt, melyek egy későbbi fázisban kerülnek lefuttatására, a TLS-el titkosított szövegre váltás után.
Megoldás
A jelentések szerint a forgalmazó a megjelenő verzióban javítani fogja a sérülékenységet.
Hivatkozások
Egyéb referencia: www.kb.cert.org
US-CERT 555316
SECUNIA 43676
CVE-2011-0411 - NVD CVE-2011-0411