VU#302671 : L'incertitude sur la fin des données SMTP peut être exploitée pour usurper des emails et contourner les politiques

Une vulnérabilité a été découverte dans la façon dont les serveurs et logiciels SMTP traitent les séquences de fin de données dans les messages électroniques, permettant aux attaquants de contourner les politiques de sécurité. Cette incohérence peut être exploitée en créant un e-mail qui dévie de la séquence standard de fin de données, provoquant une confusion lors de son transfert entre les passerelles SMTP. L'attaque, connue sous le nom de "SMTP Smuggling", implique plusieurs parties prenantes telles que les fournisseurs de services de messagerie, les fournisseurs de logiciels de messagerie et les fournisseurs de produits de sécurité de messagerie. Elle permet aux attaquants d'usurper l'identité de tout expéditeur dans n'importe quel domaine hébergé par le service de messagerie d'origine et de contourner les politiques de sécurité. Les fournisseurs et administrateurs de services de messagerie doivent s'assurer que leurs logiciels de messagerie sont à jour et appliquer les correctifs ou solutions de contournement nécessaires fournis par leurs fournisseurs de logiciels. Les utilisateurs de messagerie doivent rester prudents lorsqu'ils répondent aux e-mails et cliquent sur des liens susceptibles de télécharger des logiciels malveillants. La vulnérabilité a reçu des numéros CVE pour Exim, Postfix et Sendmail.