Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : pam_ssh, détection d’utilisateur

avril 2009 par Vigil@nce

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut détecter si un nom d’utilisateur est valide en
observant le prompt de pam_ssh.

Gravité : 1/4

Conséquences : lecture de données

Provenance : client intranet

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 01/04/2009

PRODUITS CONCERNÉS
 Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Le module PAM pam_ssh gère l’authentification en utilisant le
protocole SSH.

Lorsqu’un attaquant saisit un nom d’utilisateur valide, pam_ssh
affiche "SSH passphrase". Lorsqu’un attaquant saisit un nom
d’utilisateur invalide, pam_ssh affiche "Password".

Un attaquant peut donc mener une attaque brute force afin de
déterminer des noms d’utilisateurs valides.

CARACTÉRISTIQUES

Références : 263579, 492153, VIGILANCE-VUL-8587

http://vigilance.fr/vulnerabilite/pam-ssh-detection-d-utilisateur-8587


Voir les articles précédents

    

Voir les articles suivants