Vigil@nce - cURL : élévation de privilèges via des relais avec authentification NTLM
février 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut utiliser cURL avec un relais HTTP avec le compte
NTLM d’une autre utilisateur, afin d’élever ses privilèges.
Produits concernés : cURL, Debian, Fedora, openSUSE, openSUSE
Leap, Slackware, Ubuntu.
Gravité : 1/4.
Date création : 27/01/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit cURL contient un client HTTP embarquable. Il peut
gérer les relais mandataires.
Un relais peut imposer une authentification. Dans le cas de NTLM,
l’authentification se fait une fois par connexion (alors que
l’authentification au niveau HTTP se fait à chaque requête). Par
ailleurs, cURL peut réutiliser une connexion TCP vers le relais
d’une requête HTTP à l’autre. Cependant, lorsque l’application
utilisant cURL utilise 2 comptes différents pour
l’authentification auprès du relais, cURL va utiliser la
connexion authentifiée pour toutes les requêtes même si les
authentifiés spécifiés pour la requête courante sont
différents de ceux utilisés pour la connexion.
Un attaquant peut donc utiliser cURL avec un relais HTTP avec le
compte NTLM d’une autre utilisateur, afin d’élever ses
privilèges.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET