Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Red Hat IPA, obtention du mot de passe

septembre 2008 par Vigil@nce

SYNTHÈSE

Un attaquant anonyme peut se connecter sur le serveur LDAP et obtenir le mot de passe Master Kerberos de Red Hat Enterprise IPA.

Gravité : 3/4

Conséquences : accès/droits administrateur

Provenance : client intranet

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 11/09/2008

Référence : VIGILANCE-VUL-8105

PRODUITS CONCERNÉS

- Fedora [versions confidentielles]
- Red Hat Enterprise Linux [versions confidentielles]

DESCRIPTION

Le produit Red Hat Enterprise IPA centralise la gestion des identités et des politiques.

Le Master Kerberos Password est utilisé pour chiffrer les clés et est stocké dans un annuaire LDAP. Cependant, les droits d’accès à ce mot passe n’ont pas été définis : un attaquant peut employer une session anonyme LDAP pour le lire.

Un attaquant du réseau peut donc obtenir le Master Kerberos Password.

CARACTÉRISTIQUES

Références : BID-31111, CVE-2008-3274, FEDORA-2008-7987, FEDORA-2008-8003, RHSA-2008:0860-02, VIGILANCE-VUL-8105

https://vigilance.aql.fr/arbre/1/8105




Voir les articles précédents

    

Voir les articles suivants