Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité

Systèmes affectés

iChain 2.x.

Résumé

Deux vulnérabilités découvertes dans iChain permettent à un utilisateur mal intentionné de porter atteinte à la confidentialité des données ou de contourner la politique de sécurité du système vulnérable.

Description

Novell iChain est outil permettant la gestion des identités.

  • Une vulnérabilité découverte dans le GUI (Graphic User Interface) permet à un utilisateur mal intentionné présent sur le réseau local et analysant le trafic réseau d'avoir un accès non autorisé à la session administrateur et de pouvoir administrer le serveur iChain ;
  • la seconde vulnérabilité permet à un individu distant mal intentionné de porter atteinte à la confidentialité des données, au moyen de la commande pwd qui est tolérée par le serveur iChaine.

Contournement provisoire

L'éditeur recommande de :

  • limiter l'accès au serveur iChain via le port 51100/tcp ;
  • limiter l'accès au serveur FTP.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documention).

Documentation