Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Mail Notification WITH_SSL Plaintext Password : Faille de Sécurité

11/06/2007 14H23
Référence Secunia : SA25600 
Date de publication : 2007-06-11

Risque : Non Critique. Niveau 2 sur 5.
Impact : Exposition de données sensibles
Lieu : A distance


Solutions :
Non corrigée


Produit :
Mail Notification 4.x

Description :
Ted Percival a rapporté une faille de sécurité dans Mail Notification, qui pourrait être exploitée par des personnes malintentionnées pour divulguer des informations sensibles potentielles.

Si Mail Notification est compilé avec "WITH_SSL" défini comme 0, c'est silencieusement en utilisant des connexions non-encryptées pour un compte configuré avec SSL/TLS. Cela pourrait être exploité pour divulguer le mot de passe de un utilisateur par ex. reniflant le trafic réseau.

La vulnérabilité est rapportée en version 4.0. Les autres versions pourraient également être affectées.


Solutions :
Compile Mail Notification avec SSL support.


Vulnérabilité découverte par :

Ted Percival

Référence :
https://savannah.nongnu.org/bugs/index.php?20131

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=428157




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.