Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Asterisk, détection d’utilisateur via IAX2

janvier 2009 par Vigil@nce

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer les informations retournées lors de
l’authentification IAX2 afin de détecter si un nom d’utilisateur
est valide.

Gravité : 2/4

Conséquences : lecture de données

Provenance : client intranet

Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 09/01/2009

PRODUITS CONCERNÉS

 Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit Asterisk implémente le protocole IAX2 (Inter-Asterisk
Exchange version 2) pour transmettre des flux streaming sur IP.

L’authentification IAX2 utilise plusieurs méthodes :

 IAX_AUTH_PLAINTEXT : texte
 IAX_AUTH_MD5 : haché md5
 IAX_AUTH_RSA : chiffrement RSA

Lorsque le nom d’utilisateur est invalide, le message d’erreur
utilise une authentification texte. Lorsque le nom d’utilisateur
est valide et le mot de passe invalide, le message d’erreur
utilise l’une des méthodes d’authentifications de l’utilisateur.

Un attaquant peut donc employer cette différence afin de détecter
si un nom d’utilisateur est valide. L’attaquant peut ainsi
construire une liste d’utilisateurs valides.

CARACTÉRISTIQUES

Références : AST-2009-001, BID-33174, CVE-2009-0041,
VIGILANCE-VUL-8376

http://vigilance.fr/vulnerabilite/Asterisk-detection-d-utilisateur-via-IAX2-8376


Voir les articles précédents

    

Voir les articles suivants