Vigil@nce : Red Hat IPA, obtention du mot de passe
septembre 2008 par Vigil@nce
SYNTHÈSE
Un attaquant anonyme peut se connecter sur le serveur LDAP et
obtenir le mot de passe Master Kerberos de Red Hat Enterprise IPA.
Gravité : 3/4
Conséquences : accès/droits administrateur
Provenance : client intranet
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 11/09/2008
Référence : VIGILANCE-VUL-8105
PRODUITS CONCERNÉS
– Fedora [versions confidentielles]
– Red Hat Enterprise Linux [versions confidentielles]
DESCRIPTION
Le produit Red Hat Enterprise IPA centralise la gestion des
identités et des politiques.
Le Master Kerberos Password est utilisé pour chiffrer les clés et
est stocké dans un annuaire LDAP. Cependant, les droits d’accès à
ce mot passe n’ont pas été définis : un attaquant peut employer
une session anonyme LDAP pour le lire.
Un attaquant du réseau peut donc obtenir le Master Kerberos
Password.
CARACTÉRISTIQUES
Références : BID-31111, CVE-2008-3274, FEDORA-2008-7987,
FEDORA-2008-8003, RHSA-2008:0860-02, VIGILANCE-VUL-8105