Plusieurs vulnérabilités viennent d'être découvertes dans la
technologie d'authentification réseau Kerberos. A l'uvre au
sein de nombreuses sociétés aussi bien au niveau matériel (routeurs,
passerelles, points d'accès) que logiciel (Unix, Linux ou Mac
OS), ces failles pourraient permettre à des informaticiens chevronnés
de passer outre les protections de sécurité réseau.
Découvertes dans toutes les versions de Kerberos à partir
de la 5 et jusqu'à la 5-1.3.4 par son éditeur, le Massachusetts
Institute of Technology (MIT), les vulnérabilités font déjà
l'objet d'un patch correctif. L'un des trous de sécurité apparaît
lorsqu'un double accès à une même zone de la mémoire se produit
afin d'en libérer l'espace occupé. L'utilisateur ayant lancé
la manuvre récupère alors la main sur le système et dispose
des droits administrateur, pouvant désormais exécuter n'importe
quel code.
Une
autre erreur issue du décodeur ASN.1 de Kerberos 5 pourrait
être exploitée afin de mener une attaque en déni de service
sans qu'il soit nécessaire au préalable de s'authentifier
sur le réseau. Le MIT a prévenu que ces vulnérabilités seront
corrigées avec la version 5-1.3.5 dès qu'elle sera disponible.
Les logiciels Solaris, Red Hat Linux, Mandrake Linux, Mac
OS X, Microsoft Active Directory authentification ainsi que
les routeurs Cisco VPN 3000 Series utilisent la technologie
Kerberos. Le MIT rappelle que la mise à jour s'effectue rapidement
et a publié à cet effet un récapitulatif des produits susceptibles
d'être affectés après l'installation du patch.
Reste à convaincre les entreprises de vérifier leurs solutions
puis d'installer les correctifs de sécurité car à ce jour,
aucun hacker n'a encore tiré profit de ces failles de même
qu'aucun virus ou ver. Malgré tout, les conséquences pouvant
se traduire par une intrusion non détectée sur le réseau privé
de l'entreprise, les administrateurs devront y prendre garde.
|