CH azonosító
CH-4774Angol cím
Oracle Communications Messaging Server "STARTTLS" Plaintext Injection VulnerabilityFelfedezés dátuma
2011.04.19.Súlyosság
AlacsonyÉrintett rendszerek
Communications Messaging Exchange ServerJava System Messaging Server
Oracle
Sun Microsystems
Érintett verziók
Oracle Communications Messaging Exchange Server 7.0
Sun Java System Messaging Server 6.3
Összefoglaló
Az Oracle Communications Messaging Server egy sérülékenységét jelentették, amit kihasználva támadók módosíthatnak bizonyos adatokat.
Leírás
A sérülékenység oka, hogy a TLS implementáció az SMTP, IMAP és POP szerverekben nem megfelelően törli a szállítási réteg puffereit, miután a titkosítatlan módról titkosítottra vált a “STARTTLS” parancs feldolgozása után. Ezt kihasználva tetszőleges szöveg (pl. SMTP parancsok) beszúrása lehetséges a titkosítatlan fázisba, ami azután hajtódik végre, hogy életbe lép a TLS titkosítás.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Crypthographical (Titkosítás)Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.oracle.com
CERT-Hungary CH-4512
SECUNIA 44301
CVE-2011-0411 - NVD CVE-2011-0411