Vigil@nce - Apache Subversion : obtention d’information via MD5 Cache
août 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut provoquer une collision MD5 dans le cache
de Apache Subversion, afin d’obtenir des informations sensibles.
– Produits concernés : Subversion, openSUSE, Ubuntu
– Gravité : 1/4
– Date création : 26/08/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Apache Subversion met en cache les données
d’authentification des utilisateurs. Elles sont stockées dans un
arbre indexé par le résultat d’un haché MD5.
Cependant, un attaquant pourrait provoquer une collision MD5, afin
d’obtenir des données d’un autre utilisateur.
Un attaquant local peut donc provoquer une collision MD5 dans le
cache de Apache Subversion, afin d’obtenir des informations
sensibles.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Apache-Subversion-obtention-d-information-via-MD5-Cache-15231