Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Cisco IOS : faiblesse de Type 4 Password

avril 2013 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Lorsque le système utilise des mots de passe hachés avec l’algorithme Type 4, la RFC n’est pas respectée, ce qui affaiblit le hachage.

- Produits concernés : IOS, Cisco Router xx00 Series
- Gravité : 2/4
- Date création : 18/03/2013

DESCRIPTION DE LA VULNÉRABILITÉ

Le système Cisco IOS utilise plusieurs algorithmes de hachage, pour stocker les mots de passe.

L’algorithme de type 4 utilise la RFC 2898 (Password-Based Key Derivation Function version 2). En théorie, Cisco IOS utilise les paramètres suivants : - fonction de hachage SHA-256 - sel de 80 bits - 1000 itérations de hachage

Cependant, suite à une erreur d’implémentation, les mots de passe sont simplement hachés avec SHA-256, sans utiliser de sel, et sans itérer.

Lorsque le système utilise des mots de passe hachés avec l’algorithme Type 4, la RFC n’est pas respectée, ce qui affaiblit donc le hachage.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/C...




Voir les articles précédents

    

Voir les articles suivants