PT-2020-5911 · Mutt+5 · Mutt+5

Damian Poddebniak

+1

·

Publicado

2020-06-19

·

Atualizado

2025-01-15

·

CVE-2020-14954

CVSS v3.1

5.9

Média

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
**Nome do software vulnerável e versões afetadas:
Versões do Mutt anteriores à 1.14.4
Versões do NeoMutt anteriores a 19/06/2020
Descrição:
O problema está relacionado a uma falha de buffer no STARTTLS que afeta os protocolos IMAP, SMTP e POP3. Quando um servidor envia uma resposta “begin TLS”, o cliente lê dados adicionais e os avalia em um contexto TLS, o que pode levar à “injeção de resposta”. Isso pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas.
Recomendações:
Para versões do Mutt anteriores à 1.14.4, atualize para a versão 1.14.4 ou posterior.
Para versões do NeoMutt anteriores a 19/06/2020, atualize para uma versão lançada após 19/06/2020.
Como solução temporária, considere restringir o uso de STARTTLS para minimizar o risco de exploração.

Correção

Special Elements Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74

Identificadores relacionados

ALT-PU-2020-2259
ALT-PU-2020-2756
ALT-PU-2021-1100
BDU:2021-02007
CVE-2020-14954
DLA-2268-1
DLA-2268-2
DSA-4707-1
DSA-4708-1
MGASA-2020-0357
OESA-2022-1561
OPENSUSE-SU-2020:0903-1
OPENSUSE-SU-2020:0915-1
OPENSUSE-SU-2020:2127-1
OPENSUSE-SU-2020:2157-1
OPENSUSE-SU-2020:2158-1
OPENSUSE-SU-2020_0903-1
OPENSUSE-SU-2020_0915-1
OPENSUSE-SU-2020_2127-1
OPENSUSE-SU-2024:11069-1
OPENSUSE-SU-2024:11079-1
SUSE-SU-2020:14414-1
SUSE-SU-2020:1771-1
SUSE-SU-2020:1794-1
USN-4403-1
USN-7204-1

Produtos afetados

Alt Linux
Linuxmint
Mutt
Neomutt
Suse
Ubuntu