L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Protocole SMTP

alerte de vulnérabilité informatique CVE-2008-5424 CVE-2008-5425 CVE-2008-5426

MIME : déni de service par encapsulation

Synthèse de la vulnérabilité

Un attaquant peut créer un email contenant de nombreuses encapsulations MIME afin de mener un déni de service dans plusieurs applications.
Produits concernés : OE, Microsoft Windows Mail, Norton Internet Security, Opera, SMTP (protocole).
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 09/12/2008.
Références : BID-32702, CVE-2008-5424, CVE-2008-5425, CVE-2008-5426, CVE-2008-5427, CVE-2008-5428, VIGILANCE-VUL-8296.

Description de la vulnérabilité

Un email peut contenir plusieurs parties qui sont séparées par des entêtes MIME. Chaque partie peut à son tour contenir des données encapsulées avec des entêtes MIME.

Certains logiciels ne limitent pas le nombre d'encapsulations. Un attaquant peut donc envoyer un email contenant plusieurs milliers de parties afin de mener un déni de service.

Voici une liste de logiciels vulnérables :
  Microsoft Outlook Express 6
  Opera Version: 9.51
  Norton Internet Security Version 15
  Kaspersky Internet Security 2009

Ce type de vulnérabilité est connu de longue date, et a notamment affecté Sendmail (VIGILANCE-VUL-5924) et ClamAV (VIGILANCE-VUL-6398).
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité 2983

Contournement d'antivirus en utilisant un email référençant des données externes

Synthèse de la vulnérabilité

En utilisant une des extensions de la RFC 2046, un attaquant peut contourner les antivirus n'analysant que les emails.
Produits concernés : SMTP (protocole).
Gravité : 2/4.
Conséquences : transit de données.
Provenance : serveur internet.
Date création : 30/09/2002.
Dates révisions : 01/10/2002, 02/10/2002.
Références : V6-SMTPMSGEXTERNALBODY, VIGILANCE-VUL-2983.

Description de la vulnérabilité

La RFC 2046 décrit l'entête Content-type "message/external-body" qui permet de composer un email dont une, ou plusieurs, partie est externe au message. Par exemple, une des parties du mail peut être :
  Content-Type: message/external-body;
     access-type=ANON-FTP;
     site="serveur";
     directory="/rep";
     name="fichier"
Celle-ci indique que la portion d'email est à télécharger en FTP anonyme à l'adresse "ftp://serveur/rep/fichier".

Les différents types d'accès sont :
 - ANON-FTP : le fichier est sur un serveur FTP anonyme
 - FTP : le fichier est sur un serveur FTP avec un compte
 - TFTP : le fichier est sur un serveur Trivial FTP
 - LOCAL-FILE : le fichier est local (ou sur une machine accessible par un protocole de système de fichier)
 - MAIL-SERVER : le fichier est obtenu en envoyant un email particulier à un serveur SMTP

Un attaquant peut donc créer un message contenant une référence vers un virus situé sur un serveur FTP. Si l'antivirus n'analyse que les flux SMTP, ce message sera alors accepté. Lorsque l'utilisateur ouvrira l'email, le virus sera téléchargé sur le serveur FTP et inclus dans le message.

Cette vulnérabilité peut donc permettre de contourner les antivirus ne vérifiant pas tous les flux.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2002-1121

Absence de vérification des emails scindés

Synthèse de la vulnérabilité

En scindant un email malicieux en plusieurs morceaux, un attaquant peut le faire transiter par un anti-virus.
Produits concernés : SMTP (protocole), InterScan VirusWall.
Gravité : 2/4.
Conséquences : création/modification de données.
Provenance : serveur internet.
Date création : 13/09/2002.
Dates révisions : 16/09/2002, 18/09/2002.
Références : BID-5696, CVE-2002-1121, V6-SMTPMESSAGEPARTIALVIR, VIGILANCE-VUL-2942, VU#836088.

Description de la vulnérabilité

La RFC 2046 propose un format permettant de scinder un email en plusieurs morceaux à l'aide du Content-type "message/partial". Par exemple, le message suivant :
  From: hack@d1.com
  To: util@d2.com
  ici_un_virus_malicieux
peut être coupé en deux :
  From: hack@d1.com
  To: util@d2.com
  Content-type: message/partial; number=1; total=2
  ici_un_vir
et
  From: hack@d1.com
  To: util@d2.com
  Content-type: message/partial; number=2; total=2
  us_malicieux

Cependant, de nombreux antivirus traitent les deux messages séparément, sans chercher à les réassembler. Les deux messages traversent alors car ils ne contiennent pas de motif de virus.

Cette vulnérabilité permet donc à un attaquant de faire transiter des virus sans qu'ils puissent être détectés.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Protocole SMTP :