Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ
Les mots de passe de plus de huit caractères hachés par
l’algorithme DES sont tronqués, sans avertir l’utilisateur.

– Gravité : 1/4
– Date création : 29/08/2011

PRODUITS CONCERNÉS

– Squid cache

DESCRIPTION DE LA VULNÉRABILITÉ

L’accès au proxy Squid peut être restreint aux utilisateurs
s’authentifiant avec un mot de passe. Ce mot de passe est généré
par la commande htpasswd. Cette commande hache le mot de passe
avec l’algorithme DES ou MD5.

L’algorithme DES est connu pour tronquer le mot de passe à huit
caractères. Cependant Squid n’affiche pas d’avertissement pour
prévenir l’utilisateur que le niveau de sécurité de son mot de
passe a été abaissé.

Les mots de passe de plus de huit caractères hachés par
l’algorithme DES sont donc tronqués, sans avertir l’utilisateur.
L’impact est faible si les huit premiers caractères du mot de
passe sont complexes.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Squid-troncature-de-mot-de-passe-DES-10956