Vigil@nce : Squid, troncature de mot de passe DES
septembre 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Les mots de passe de plus de huit caractères hachés par
l’algorithme DES sont tronqués, sans avertir l’utilisateur.
– Gravité : 1/4
– Date création : 29/08/2011
PRODUITS CONCERNÉS
– Squid cache
DESCRIPTION DE LA VULNÉRABILITÉ
L’accès au proxy Squid peut être restreint aux utilisateurs
s’authentifiant avec un mot de passe. Ce mot de passe est généré
par la commande htpasswd. Cette commande hache le mot de passe
avec l’algorithme DES ou MD5.
L’algorithme DES est connu pour tronquer le mot de passe à huit
caractères. Cependant Squid n’affiche pas d’avertissement pour
prévenir l’utilisateur que le niveau de sécurité de son mot de
passe a été abaissé.
Les mots de passe de plus de huit caractères hachés par
l’algorithme DES sont donc tronqués, sans avertir l’utilisateur.
L’impact est faible si les huit premiers caractères du mot de
passe sont complexes.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Squid-troncature-de-mot-de-passe-DES-10956