Vigil@nce : GNOME Display Manager, lecture du mot de passe
juillet 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsqu’un utilisateur de GNOME Display Manager a saisi un mot de
passe contenant un caractère spécial, il s’affiche dans un fichier
de log.
– Gravité : 1/4
– Date création : 29/07/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Le processus gdmlogin de GNOME Display Manager reçoit le login et
le mot de passe saisis par l’utilisateur.
La fonction ve_locale_from_utf8() décode les chaînes UTF-8. Si une
chaîne contient un caractère invalide, un message d’erreur
s’affiche :
string not in proper utf8 encoding : ici_la_chaîne
Ce message d’erreur s’affiche dans le fichier /var/log/messages,
qui est lisible par tout le monde.
Lorsque l’utilisateur saisit par inadvertance un caractère spécial
dans son mot de passe, le fichier de log contient donc ce mot de
passe erroné (mais généralement proche du mot de passe de
l’utilisateur).
Lorsqu’un utilisateur de GNOME Display Manager a saisi un mot de
passe contenant un caractère spécial, un attaquant local peut donc
lire le fichier de log puis deviner le mot de passe.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/GNOME-Display-Manager-lecture-du-mot-de-passe-9795