Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Squid, vulnérabilités de l’authentification

mai 2008 par Vigil@nce

Un attaquant peut mener un déni de service et éventuellement faire
exécuter du code lors de l’authentification à Squid.

 Gravité : 3/4
 Conséquences : accès/droits privilégié, déni de service du service
 Provenance : client intranet
 Moyen d’attaque : aucun démonstrateur, aucune attaque
 Compétence de l’attaquant : expert (4/4)
 Confiance : confirmé par l’éditeur (5/5)
 Diffusion de la configuration vulnérable : élevée (3/3)
 Date création : 22/05/2008
 Référence : VIGILANCE-VUL-7849

PRODUITS CONCERNÉS

Squid cache [versions confidentielles]

DESCRIPTION

Le protocole HTTP supporte deux types d’authentification :
 Basic : le mot de passe est encodé en base64
 Digest : un échange cryptographique chiffre le mot de passe
Le proxy Squid comporte deux vulnérabilités dans l’implémentation
de ces authentifications.

Un attaquant peut employer une séquence d’authentification Digest
spéciale afin de provoquer une corruption de mémoire. Cette erreur
provoque un déni de service et pourrait conduire à l’exécution de
code. [grav:3/4]

Un attaquant peut employer une authentification Basic avec un
login ou mot de passe vide afin de provoquer une fuite mémoire.
Cette vulnérabilité permet à un attaquant de progressivement créer
un déni de service. [grav:2/4]

CARACTÉRISTIQUES

 Références : VIGILANCE-VUL-7849
 Url : https://vigilance.aql.fr/arbre/1/7849


Voir les articles précédents

    

Voir les articles suivants