Vigil@nce - Node.js node-krb5 : élévation de privilèges
octobre 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut usurper le KDC auprès de Node.js node-krb5,
afin d’élever ses privilèges.
Produits concernés : Node.js Modules non exhaustif.
Gravité : 2/4.
Date création : 05/08/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le module node-krb5 peut être installé sur Node.js afin
d’ajouter l’authentification par Kerberos.
La première étape du client Kerberos est une identification
auprès du centre de distribution de clés (KDC). Cependant, le
module node-krb5 ne valide pas l’identité du KDC ce qui permet
d’usurper les données d’authentifications d’un utilisateur.
Un attaquant peut donc usurper le KDC auprès de Node.js
node-krb5, afin d’élever ses privilèges.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/Node-js-node-krb5-elevation-de-privileges-20320