Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - SSSD : connexion sans mot de passe

septembre 2010 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut se connecter via SSSD et LDAP avec un compte
sans connaître le mot de passe.

Gravité : 2/4

Date création : 26/08/2010

DESCRIPTION DE LA VULNÉRABILITÉ

Le démon SSSD gère l’accès à l’identité et l’authentification des
ressources à distance.

LDAP propose un mécanisme d’authentification appelé SimpleBind qui
requiere deux arguments (nom de l’utilisateur et mot de passe).
Trois modes, Anonymous, Unauthenticated et Name/Password sont
définis. Dans les deux premier cas, c’est une authentification
anonyme (mot de passe vide).

Lorsqu’un serveur LDAP est utilisé pour l’authentification, SSSD
fait une requête SimpleBind vers ce serveur et en fonction de la
réponse authorise au non l’accès. Cependant, dans le cas ou le
serveur LDAP authorise le mode Unauthenticated, si un mot de passe
vide est transmis, le mode Unauthenticated sera utilisé au lieu du
mode Name/Password. Le serveur LDAP authentifie alors
l’utilisateur, SSSD aussi permettant ainsi la connexion.

Un attaquant peut donc se connecter via SSSD avec un compte sans
connaître le mot de passe.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/SSSD-connexion-sans-mot-de-passe-9885


Voir les articles précédents

    

Voir les articles suivants