CERTA-2001-AVI-079

Vulnerability from certfr_avis - Published: - Updated:

Un utilisateur mal intentionné peut exploiter une vulnérabilité dans le système d'authentification pour se connecter sans mot de passe sur un compte.

Description

Lors de l'authentification par mot de passe, si le mot de passe contenu dans le fichier /etc/passwd ou /etc/shadow n'est composé que de 2 caratères ou moins, n'importe quel utilisateur pourra se connecter sur ce compte sans mot de passe.

Cette vulnérabilité est dûe à un bogue dans la partie du code qui effectue la comparaison entre le résultat de la fonction crypt(mot_de_passe, salt) et le mot de passe chiffré. La fonction crypt() renvoie une chaîne de 13 caractères, dont les 2 premiers sont le "salt". La comparaison est ensuite faite entre les n premiers caractères de la chaîne et le mot de passe chiffré, n étant le nombre de caractères du mot de passe chiffré (2 dans notre cas). Or la valeur choisie pour le "salt" par la fonction crypt() sont les deux premiers caractères du mot de passe chiffré.

La correspondance des 2 chaînes est donc toujours vérifiée.

Contournement provisoire

N'autoriser l'accès au démon sshd2 qu'aux utilisateurs dont le mot de passe chiffré dans /etc/passwd ou /etc/shadow excède 2 caratcères.

Solution

Mettre à jour SSH Secure Shell et installer la version 3.0.1. Cette version est disponible sur le site FTP de SSH :

ftp://ftp.ssh.com/pub/ssh/

Version 3.0.0 de SSH Secure Shell sur les systèmes suivants :

  • Red Hat Linux versions 6.1 à 7.1 incluses ;
  • Solaris versions 2.6 à 2.8 incluses ;
  • HP-UX versions 10.20 et 11.00 ;
  • Caldera Linux version 2.4 ;
  • SuSE Linux versions 6.4 à 7.0 incluses.

Notons que la version 3.0.0 de SSH Secure Shell n'est pas installée par défaut sur ces systèmes.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eVersion 3.0.0 de SSH Secure Shell sur les syst\u00e8mes suivants  :\u003c/P\u003e  \u003cUL\u003e    \u003cLI\u003eRed Hat Linux versions 6.1 \u00e0 7.1 incluses ;\u003c/LI\u003e    \u003cLI\u003eSolaris versions 2.6 \u00e0 2.8 incluses ;\u003c/LI\u003e    \u003cLI\u003eHP-UX versions 10.20 et 11.00 ;\u003c/LI\u003e    \u003cLI\u003eCaldera Linux version 2.4 ;\u003c/LI\u003e    \u003cLI\u003eSuSE Linux versions 6.4 \u00e0 7.0 incluses.\u003cBR\u003e\u003c/LI\u003e  \u003c/UL\u003e  \u003cP\u003eNotons que la version 3.0.0 de SSH Secure Shell n\u0027est pas  install\u00e9e par d\u00e9faut sur ces syst\u00e8mes.\u003c/P\u003e",
  "content": "## Description\n\nLors de l\u0027authentification par mot de passe, si le mot de passe contenu\ndans le fichier /etc/passwd ou /etc/shadow n\u0027est compos\u00e9 que de 2\ncarat\u00e8res ou moins, n\u0027importe quel utilisateur pourra se connecter sur\nce compte sans mot de passe.\n\nCette vuln\u00e9rabilit\u00e9 est d\u00fbe \u00e0 un bogue dans la partie du code qui\neffectue la comparaison entre le r\u00e9sultat de la fonction\ncrypt(mot_de_passe, salt) et le mot de passe chiffr\u00e9. La fonction\ncrypt() renvoie une cha\u00eene de 13 caract\u00e8res, dont les 2 premiers sont le\n\"salt\". La comparaison est ensuite faite entre les n premiers caract\u00e8res\nde la cha\u00eene et le mot de passe chiffr\u00e9, n \u00e9tant le nombre de caract\u00e8res\ndu mot de passe chiffr\u00e9 (2 dans notre cas). Or la valeur choisie pour le\n\"salt\" par la fonction crypt() sont les deux premiers caract\u00e8res du mot\nde passe chiffr\u00e9.\n\nLa correspondance des 2 cha\u00eenes est donc toujours v\u00e9rifi\u00e9e.\n\n## Contournement provisoire\n\nN\u0027autoriser l\u0027acc\u00e8s au d\u00e9mon sshd2 qu\u0027aux utilisateurs dont le mot de\npasse chiffr\u00e9 dans /etc/passwd ou /etc/shadow exc\u00e8de 2 caratc\u00e8res.\n\n## Solution\n\nMettre \u00e0 jour SSH Secure Shell et installer la version 3.0.1. Cette\nversion est disponible sur le site FTP de SSH :\n\n    ftp://ftp.ssh.com/pub/ssh/\n",
  "cves": [],
  "links": [
    {
      "title": "L\u0027avis de s\u00e9curit\u00e9 de SSH :",
      "url": "http://www.ssh.com/products/ssh/exploits.cfm"
    }
  ],
  "reference": "CERTA-2001-AVI-079",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-07-24T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Acc\u00e8s non autoris\u00e9s"
    },
    {
      "description": "Compromission de la machine"
    }
  ],
  "summary": "Un utilisateur mal intentionn\u00e9 peut exploiter une vuln\u00e9rabilit\u00e9 dans le\nsyst\u00e8me d\u0027authentification pour se connecter sans mot de passe sur un\ncompte.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans SSH Secure Shell 3.0.0",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.