OpenBSD 3.4 et 3.5 (versions ant\u00e9rieures non maintenues).
","content":"## Description\n\nLe syst\u00e8me d'authentification (\\`\\`login'') d'OpenBSD peut \u00eatre\nconfigur\u00e9 pour utiliser divers sch\u00e9mas de validation des donn\u00e9es\nd'authentification. Bien que cela ne soit pas activ\u00e9 par d\u00e9faut, cette\nvalidation peut \u00eatre confi\u00e9e \u00e0 un serveur distant Radius.\n\nLe protocole Radius n\u00e9cessite le partage d'un secret entre le syst\u00e8me\n\u00e9metteur et le serveur Radius pour l'authentification mutuelle de ces\nderniers. Cependant OpenBSD ne v\u00e9rifie pas que la r\u00e9ponse du serveur\nutilise le secret partag\u00e9. Un individu mal intentionn\u00e9, ayant acc\u00e8s au\nr\u00e9seau commun aux deux syst\u00e8mes, peut donc fabriquer une fausse r\u00e9ponse\ndu serveur Radius qui sera valid\u00e9e et ainsi usurper l'identit\u00e9 d'un\nutilisateur l\u00e9gitime quelconque.\n\n## Solution\n\nSe r\u00e9f\u00e9rer aux correctifs de s\u00e9curit\u00e9 de l'\u00e9diteur (cf. section\nDocumentation).\n","cves":[],"links":[{"title":"Correctif de s\u00e9curit\u00e9 OpenBSD 3.4 du 20 septembre 2004 :","url":"http://www.opensbsd.org/errata34.html#radius"},{"title":"Correctif de s\u00e9curit\u00e9 OpenBSD 3.5 du 20 septembre 2004 :","url":"http://www.opensbsd.org/errata.html#radius"}],"reference":"CERTA-2004-AVI-346","revisions":[{"description":"version initiale.","revision_date":"2004-10-15T00:00:00.000000"}],"risks":[{"description":"Usurpation d'identit\u00e9"},{"description":"Acc\u00e8s ill\u00e9gitime au syst\u00e8me"}],"summary":"Lorsque l'authentification de l'acc\u00e8s \u00e0 un syst\u00e8me