Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : InterScan Web Security Suite, obtention du mot de passe

février 2009 par Vigil@nce

SYNTHÈSE DE LA VULNÉRABILITÉ

Lorsqu’une authentification est configurée pour Trend Micro
InterScan Web Security Suite, un attaquant peut obtenir le login
et le mot de passe de l’utilisateur.

Gravité : 2/4

Conséquences : lecture de données

Provenance : serveur internet

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : source unique (2/5)

Diffusion de la configuration vulnérable : moyenne (2/3)

Date création : 10/02/2009

PRODUITS CONCERNÉS

 Trend Micro InterScan Web Security Suite

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit Trend Micro IWSS (InterScan Web Security Suite) filtre
les accès web des utilisateurs.

Une authentification basique peut être configurée pour accéder à
ce service. Dans ce cas, le navigateur web de l’utilisateur envoie
une requête HTTP contenant le login et le mot de passe encodés en
base64 :

Proxy-Authorization : Basic login-password-encode
Ensuite, IWSS supprime cet entête et envoie la requête HTTP vers
le serveur distant. Le serveur reçoit donc une requête ne
contenant pas le login et le mot de passe d’accès au proxy.

Cependant, le logiciel Windows Media Player utilise l’entête
suivant :

Proxy-Authorization : basic login-password-encode
On peut noter que le mot "basic" ne commence pas par une
majuscule. Dans ce cas, IWSS ne supprime pas l’entête avant de
l’envoyer vers le serveur distant.

Un attaquant peut donc créer une page web contenant un document
multimédia, et inviter la victime à le consulter. Le serveur web
de l’attaquant recevra alors le login et le mot de passe du proxy
IWSS de la victime.

CARACTÉRISTIQUES

Références : BID-33687, VIGILANCE-VUL-8457

http://vigilance.fr/vulnerabilite/InterScan-Web-Security-Suite-obtention-du-mot-de-passe-8457


Voir les articles précédents

    

Voir les articles suivants