Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - SSSD : connexion sans mot de passe

septembre 2010 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut se connecter via SSSD et LDAP avec un compte sans connaître le mot de passe.

Gravité : 2/4

Date création : 26/08/2010

DESCRIPTION DE LA VULNÉRABILITÉ

Le démon SSSD gère l’accès à l’identité et l’authentification des ressources à distance.

LDAP propose un mécanisme d’authentification appelé SimpleBind qui requiere deux arguments (nom de l’utilisateur et mot de passe). Trois modes, Anonymous, Unauthenticated et Name/Password sont définis. Dans les deux premier cas, c’est une authentification anonyme (mot de passe vide).

Lorsqu’un serveur LDAP est utilisé pour l’authentification, SSSD fait une requête SimpleBind vers ce serveur et en fonction de la réponse authorise au non l’accès. Cependant, dans le cas ou le serveur LDAP authorise le mode Unauthenticated, si un mot de passe vide est transmis, le mode Unauthenticated sera utilisé au lieu du mode Name/Password. Le serveur LDAP authentifie alors l’utilisateur, SSSD aussi permettant ainsi la connexion.

Un attaquant peut donc se connecter via SSSD avec un compte sans connaître le mot de passe.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/S...




Voir les articles précédents

    

Voir les articles suivants