Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Cisco IOS : faiblesse de Type 4 Password

avril 2013 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Lorsque le système utilise des mots de passe hachés avec
l’algorithme Type 4, la RFC n’est pas respectée, ce qui affaiblit
le hachage.

 Produits concernés : IOS, Cisco Router xx00 Series
 Gravité : 2/4
 Date création : 18/03/2013

DESCRIPTION DE LA VULNÉRABILITÉ

Le système Cisco IOS utilise plusieurs algorithmes de hachage,
pour stocker les mots de passe.

L’algorithme de type 4 utilise la RFC 2898 (Password-Based Key
Derivation Function version 2). En théorie, Cisco IOS utilise les
paramètres suivants :
- fonction de hachage SHA-256
- sel de 80 bits
- 1000 itérations de hachage

Cependant, suite à une erreur d’implémentation, les mots de passe
sont simplement hachés avec SHA-256, sans utiliser de sel, et sans
itérer.

Lorsque le système utilise des mots de passe hachés avec
l’algorithme Type 4, la RFC n’est pas respectée, ce qui affaiblit
donc le hachage.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Cisco-IOS-faiblesse-de-Type-4-Password-12541


Voir les articles précédents

    

Voir les articles suivants