Vigil@nce : IBM Tivoli Directory Server, accès via autocomplete
juillet 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant, ayant accès à la session d’un utilisateur, peut
employer la fonctionnalité "autocomplete" de IBM Tivoli Directory
Server IDSWebApp, afin d’accéder à son compte IDSWebApp.
– Gravité : 1/4
– Date création : 19/07/2011
PRODUITS CONCERNÉS
– IBM Tivoli Directory Server
DESCRIPTION DE LA VULNÉRABILITÉ
Le serveur IBM Tivoli Directory Server peut être administré via le
Web Administration Tool (IDSWebApp).
La fonctionnalité "autocomplete" de IDSWebApp, permet à un
utilisateur de s’authentifier automatiquement au site web.
Cependant, cette fonctionnalité est activée par défaut, et
l’utilisateur doit explicitement la désactiver à chaque fois.
Un attaquant, ayant accès à la session d’un utilisateur, peut donc
employer la fonctionnalité "autocomplete" de IBM Tivoli Directory
Server IDSWebApp, afin d’accéder à son compte IDSWebApp.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/IBM-Tivoli-Directory-Server-acces-via-autocomplete-10850