CVE-2021-32066: Vulnerabilidad de recortado de StartTLS en Net::IMAP

Publicado por shugo el 2021-07-07
Traducción de vtamara

Se descubrió una vulnerabilidad de recortado de StartTLS en Net::IMAP. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2021-32066. Recomendamos enfáticamente actualizar Ruby.

net-imap es una gema predeterminada en Ruby 3.0.1 pero tiene un problema de empaquetado, así que por favor actualice Ruby completo.

Detalles

Net::IMAP no lanzan una excepción cuando falla StartTLS por una respuesta desconocida, lo que puede permitir a un atacante intermediario sobrepasar la proteccíon TLS aprovechando la posición de su red entre el cliente y el registro para bloquear la orden StartTLS, es decir un “ataque por recorte de StartTLS.”

Versiones afectadas

Series de Ruby 2.6: 2.6.7 y anteriores
Series de Ruby 2.7: 2.7.3 y anteriores
Serires de Ruby 3.0: 3.0.1 y anteriores

Creditos

Agradecimientos a Alexandr Savca por reportar este problema.

Historia

Publicado originalmente el 2021-07-07 09:00:00 UTC

Ruby

El mejor amigo de un desarrollador

CVE-2021-32066: Vulnerabilidad de recortado de StartTLS en Net::IMAP

Detalles

Versiones afectadas

Creditos

Historia

Noticias recientes

Feeds de noticias (RSS)