Vigil@nce : Samhain, contournement de l’authentification
mars 2009 par Vigil@nce
Un attaquant peut contourner l’authentification SRP de Samhain
afin d’obtenir des informations sensibles.
– Gravité : 2/4
– Conséquences : accès/droits privilégié, lecture de données
– Provenance : client intranet
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 05/03/2009
PRODUITS CONCERNÉS
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Le programme Samhain est un HIDS. Il peut être configuré pour
envoyer ses informations sur un serveur yule. L’authentification
entre le client et le serveur utilise le protocole SRP (Secure
Remote Password).
Le protocole SRP est basé sur une exponentiation modulaire.
Certaines valeurs (A, B et u) de la formule ne doivent pas valoir
zéro, sous peine de provoquer des simplifications conduisant à une
validation permanente du mot de passe.
Cependant, Samhain ne vérifie pas si ces valeurs sont nulles. Un
attaquant ne connaissant pas le mot de passe peut donc se
connecter sur yule.
Un attaquant peut ainsi obtenir les informations sensibles
stockées sur yule.
CARACTÉRISTIQUES
– Références : VIGILANCE-VUL-8510
– Url : http://vigilance.fr/vulnerabilite/Samhain-contournement-de-l-authentification-8510