Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Dans certains cas, une application compilée avec libcurl et
utilisant NTLM peut accéder aux données d’un autre utilisateur.

Produits concernés : cURL, Debian, Fedora

Gravité : 2/4

Date création : 29/01/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Un site web peut être configuré pour demander une authentification
NTLM.

Afin d’optimiser ses performances, libcurl emploie un pool
(réservoir) pour mémoriser ses connexions récentes. Cependant,
après une première requête NTLM, si la deuxième requête nécessite
un nouveau login, la connexion mémorisée est réutilisée. Dans ce
cas, les données d’authentification de la première requête sont
alors employées pour la deuxième requête.

Dans certains cas, une application compilée avec libcurl et
utilisant NTLM peut donc accéder aux données d’un autre
utilisateur.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Curl-reutilisation-de-connexion-NTLM-14151