Vigil@nce - VMware vCenter Server : Man-in-the-Middle de LDAP
novembre 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut se positionner en Man-in-the-Middle entre le
serveur LDAP et VMware vCenter Server, afin de lire ou modifier
des données de la session.
– Produits concernés : vCenter, VMware vSphere.
– Gravité : 2/4.
– Date création : 17/09/2015.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit VMware vCenter Server utilise le protocole TLS afin de
créer des sessions sécurisées vers un serveur LDAP.
Cependant, le certificat X.509 et l’identité du service ne sont
pas correctement vérifiés.
Un attaquant peut donc se positionner en Man-in-the-Middle entre
le serveur LDAP et VMware vCenter Server, afin de lire ou modifier
des données de la session.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/VMware-vCenter-Server-Man-in-the-Middle-de-LDAP-17914