Vulnérabilité dans Stunnel

Date de publication : 29/09/2022

CVE-2021-20230[Score CVSS v3 : 7.5] : Une vulnérabilité a été corrigée dans stunnel. Cette faille est due à une validation incorrecte des certificats clients lorsque Stunnel est configuré pour utiliser à la fois les options de redirection et de verifyChain. Son exploitation peut permettre à un attaquant possédant un certificat signé par une autorité de certification, qui n'est pas celle acceptée par le serveur Stunnel, d'accéder au service tunnelé au lieu d'être redirigé vers l'adresse spécifiée dans l'option de redirection.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Exposition d’informations sensibles
Violation des politiques de sécurité

Criticité

Score CVSS v3 : En cours de calcul

Existence d’un code d’exploitation

Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

Les versions de Stunnel antérieures à 5.57 sont impactées par cette vulnérabilité.

CVE

CVE-2021-20230

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour Stunnel vers la version 5.57 ou vers une version ultérieure.

Solution de contournement

Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.

Liens

1925226 – (CVE-2021-20230) CVE-2021-20230 stunnel: client certificate not corre…