Vigil@nce : Asterisk, détection d’utilisateur
avril 2009 par Vigil@nce
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut observer les messages d’erreur afin de détecter
si un nom d’utilisateur est valide.
Gravité : 1/4
Conséquences : lecture de données
Provenance : client internet
Moyen d’attaque : 1 attaque
Compétence de l’attaquant : technicien (2/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 03/04/2009
PRODUITS CONCERNÉS
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
La directive "alwaysauthreject" d’Asterisk indique de retourner le
message d’erreur "401 Unauthorized" pour la majorité des erreurs
d’authentification.
Lorsque "alwaysauthreject" est actif :
– si le nom d’utilisateur est valide et le mot de passe est
invalide, Asterisk retourne "407 Proxy Authentication Required"
– si le nom d’utilisateur est invalide, Asterisk retourne "401
Unauthorized"
Lorsque "alwaysauthreject" est inactif, tous les messages d’erreur
sont différents.
Dans les deux cas, un attaquant peut donc observer les messages
d’erreur afin de détecter si un nom d’utilisateur est valide.
CARACTÉRISTIQUES
Références : AST-2009-003, BID-34353, CVE-2008-3903,
VIGILANCE-VUL-8597
http://vigilance.fr/vulnerabilite/Asterisk-detection-d-utilisateur-8597