Vulnérabilité dans Stunnel
Date de publication :
CVE-2021-20230[Score CVSS v3 : 7.5] : Une vulnérabilité a été corrigée dans stunnel. Cette faille est due à une validation incorrecte des certificats clients lorsque Stunnel est configuré pour utiliser à la fois les options de redirection et de verifyChain. Son exploitation peut permettre à un attaquant possédant un certificat signé par une autorité de certification, qui n'est pas celle acceptée par le serveur Stunnel, d'accéder au service tunnelé au lieu d'être redirigé vers l'adresse spécifiée dans l'option de redirection.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Exposition d’informations sensibles
Violation des politiques de sécurité
Criticité
-
Score CVSS v3 : En cours de calcul
Existence d’un code d’exploitation
-
Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
-
Les versions de Stunnel antérieures à 5.57 sont impactées par cette vulnérabilité.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Stunnel vers la version 5.57 ou vers une version ultérieure.
Solution de contournement
Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.