Vigil@nce - GNOME Keyring : non expiration du cache gpg
août 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Les données d’authentification stockées dans le cache gpg de GNOME
Keyring n’expirent pas après la durée d’inactivité définie par
l’administrateur.
Gravité : 1/4
Date création : 09/08/2012
PRODUITS CONCERNÉS
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
L’outil GNOME Keyring stocke les mots de passe (session, ssh, gpg,
etc.) de l’utilisateur, afin qu’il ne soient plus demandés.
L’option org.gnome.crypto.cache gpg-cache-ttl (en mode "idle")
définit la durée d’expiration des données stockées. Cependant, le
fichier daemon/gpg-agent/gkd-gpg-agent-ops.c, qui implémente le
cache gpg, n’utilise pas cette option.
Les données d’authentification stockées dans le cache gpg de GNOME
Keyring n’expirent donc pas après la durée d’inactivité définie
par l’administrateur.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/GNOME-Keyring-non-expiration-du-cache-gpg-11835