Vigil@nce : libuser, mot de passe par défaut
février 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsqu’un utilisateur LDAP est créé par l’intermédiaire de libuser
sans préciser de mot de passe, son mot de passe par défaut est
fixe.
– Gravité : 2/4
– Date création : 27/01/2011
PRODUITS CONCERNÉS
– Fedora
– Mandriva Corporate
– Mandriva Enterprise Server
– Mandriva Linux
– Red Hat Enterprise Linux
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
La bibliothèque libuser implémente une interface commune pour
manipuler les comptes utilisateurs.
Cette bibliothèque permet de créer un compte LDAP, en précisant le
nom du compte et son mot de passe. Cependant, si l’administrateur
ne précise pas de mot de passe, une valeur par défaut est choisie.
Un attaquant connaissant ce mot de passe par défaut peut alors se
connecter sur le compte nouvellement créé.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/libuser-mot-de-passe-par-defaut-10310