layout	title	author	translator	date	tags	lang
news_post	CVE-2021-32066: Vulnerabilidad de recortado de StartTLS en Net::IMAP	shugo	vtamara	2021-07-07 09:00:00 +0000	security	es

Se descubrió una vulnerabilidad de recortado de StartTLS en Net::IMAP. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2021-32066. Recomendamos enfáticamente actualizar Ruby.

net-imap es una gema predeterminada en Ruby 3.0.1 pero tiene un problema de empaquetado, así que por favor actualice Ruby completo.

Detalles

Net::IMAP no lanzan una excepción cuando falla StartTLS por una respuesta desconocida, lo que puede permitir a un atacante intermediario sobrepasar la proteccíon TLS aprovechando la posición de su red entre el cliente y el registro para bloquear la orden StartTLS, es decir un "ataque por recorte de StartTLS."

Versiones afectadas

Series de Ruby 2.6: 2.6.7 y anteriores
Series de Ruby 2.7: 2.7.3 y anteriores
Serires de Ruby 3.0: 3.0.1 y anteriores

Creditos

Agradecimientos a Alexandr Savca por reportar este problema.

Historia

Publicado originalmente el 2021-07-07 09:00:00 UTC

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

2021-07-07-starttls-stripping-in-net-imap.md

2021-07-07-starttls-stripping-in-net-imap.md

Detalles

Versiones afectadas

Creditos

Historia

Files

2021-07-07-starttls-stripping-in-net-imap.md

Latest commit

History

2021-07-07-starttls-stripping-in-net-imap.md

File metadata and controls

Detalles

Versiones afectadas

Creditos

Historia