PT-2020-13223 · Ciphermail · Ciphermail Community Gateway Virtual Appliances+2
Pablo A. Zurro
·
Publicado
2020-06-11
·
Atualizado
2020-06-22
·
CVE-2020-12714
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Aplicativos virtuais CipherMail Community Gateway, versões 1.0.1 a 4.7.1-0
Aplicativos virtuais CipherMail Professional/Enterprise Gateway, versões 1.0.1 a 4.7.1-0
Aplicativos virtuais CipherMail Webmail Messenger, versões 1.1.1 a 3.1.1-0
Descrição
Foi descoberta uma falha nos produtos CipherMail em que um parâmetro Diffie-Hellman de tamanho insuficiente poderia permitir um ataque man-in-the-middle, comprometendo as comunicações entre os produtos CipherMail e clientes SMTP externos.
Recomendações
Para os dispositivos virtuais CipherMail Community Gateway, versões 1.0.1 a 4.7.1-0, atualize para uma versão com um tamanho de parâmetro Diffie-Hellman seguro.
Para os dispositivos virtuais CipherMail Professional/Enterprise Gateway, versões 1.0.1 a 4.7.1-0, atualize para uma versão com um tamanho de parâmetro Diffie-Hellman seguro.
Para os dispositivos virtuais CipherMail Webmail Messenger nas versões 1.1.1 a 3.1.1-0, atualize para uma versão com um tamanho de parâmetro Diffie-Hellman seguro.
Como solução alternativa temporária, considere restringir o acesso a clientes SMTP externos até que uma versão segura esteja disponível.
Exploit
Correção
Inadequate Encryption Strength
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ciphermail Community Gateway Virtual Appliances
Ciphermail Professional/Enterprise Gateway Virtual Appliances
Ciphermail Webmail Messenger Virtual Appliances