0.39 %
Publicité
ACTUALITES
Kerberos : attention à vos utilisateurs !
Le système d'authentification Kerberos est victime de trois vulnérabilités importantes. La première permet à un utilisateur non authentifié de se connecter à distance sous n'importe quel compte, même root ! Les deux autres autorisent un utilisateur déjà authentifié à exécuter du code, notamment sur le serveur de clés.
Kerberos, l'ancestral système d'authentification initialement développé par le MIT aux Etats-Unis, est victime de trois vulnérabilités. A elles trois, elles viennent contredire la fonction même de l'outil : authentifier les utilisateurs du système d'
Les deux vulnérabilités suivantes ne sont accessibles qu'à un utilisateur déjà authentifié dans le "Royaume" Kerberos. Elles permettent d'exécuter du code, notamment sur le serveur de clés. Les vulnérabilités sont exploitables, pour l'une, en empoisonnant le système de journalisation du système d'authentification (pour provoquer un buffer overflow), et pour l'autre en forçant le système à libérer par deux fois la mémoire (un Double Free), ce qui mène ici aussi à un buffer overflow. Bien entendu, le fait que seuls des utilisateurs déjà au sein du Royaume soient en mesure d'exploiter ces deux dernières vulnérabilités réduit leur impact. Mais pour les nombreuses universités, centres de recherche et autres lieux semi-publics qui utilisent massivement Kerberos, ce n'est qu'une demie bonne nouvelle !
Des correctifs sont disponibles pour chacune de ces vulnérabilités, et la prochaine version (krb5-1.6.1) les intégrera bien entendu. Attention : certains composants du Kerberos du MIT sont utilisés dans les produits de très nombreux éditeurs (notamment les librairies GSS-API et RPC), et ils sont également susceptibles d'être vulnérables. Nous n'avons enfin pas pu confirmer si la version de Kerberos intégrée à Windows était vulnérable.
Plus d'
La vulnérabilité Telnet
La vulnérabilité syslog
Publicité
RETOUR EN HAUT DE LA PAGE
Publicité