Des failles à gogo dans les serveurs LDAP

La journée de lundi a été plutôt mauvaise pour les éditeurs d'annuaires d'entreprise basés sur le protocole LDap (Lightweight directory access protocol). En effet, un nouveau communiqué de l'organisme fédéral américain Cert (Computer emergency response team) vient de balayer le marché sur la base d'informations fournies par le projet finlandais de recherche Protos. Issu d'un partenariat entre l'université de Oulu et l'organisation gouvernementale indépendante VTT Electronics, celui-ci a pour rôle d'étudier les méthodes qui permettent de tester les failles de sécurité dans l'implémentation des protocoles. Résultat, les tests effectués sur LDap, qui gère la façon dont sont stockés les profils des collaborateurs et les procédures d'authentification par mots de passe, mettent à mal les solutions de 9 éditeurs différents.

Pour mener les tests, les équipes du projet Protos ont déployé une méthodologie très stricte avec leur outil dédié Protos LDAPv3. L'évaluation des risques dans la réponse des serveurs à l'envoi de paquets de données corrompus a porté sur deux sections de 77 groupes de tests chacune. Au total, 6 685 cas sont étudiés. La première section, intitulée "encoding", examine la violation par ces paquets d'un ensemble de règles du nom de BER (Basic encoding rules), qui permettent de représenter et de transformer le mode de description de diverses données ASN.1 (Abstract Syntax Notation One) en une chaîne d'octets. La deuxième section, dite "application", observe la réponse à des paquets exploitant des anomalies spécifiques à LDap.

Données confidentielles lues et serveurs par terre
Parmi les 9 solutions stressées, dont 7 par le projet Protos, le premier ensemble d'annuaires d'entreprise intègre ceux qui permettent à un pirate d'accéder aux données confidentielles. Le signe "<" indique que toutes les versions inférieures à celle indiquée sont vulnérables. Les liens sur les versions donnent accès aux endroits où sont/seront placés les correctifs quand l'éditeur a pris soin de les proposer. Sinon, il est préférable de le contacter directement. Les quatre plates-formes de cet ensemble sont iPlanet Directory Server (v.Bêta de la 5.0 et < 4.13), Lotus Domino R5 Server (< 5.0.7a), Network Associates PGP Keyserver (7.0 quand < hotfix v.2), et Oracle 8i Enterprise Edition. Cette dernière peut paraître la plus faillible avec sur la partie "application", 46 sections touchées sur 77. Mais le Cert rappelle que certaines failles peuvent être réparties entre plusieurs sections, ce qui ne permet pas d'établir un "palmarès". Dans cet ensemble, au moins une vulnérabilité a été exploitée en laboratoire sur chaque solution testée.

Les trois plates-formes de l'ensemble suivant n'ont pu être testées de bout en bout, car les tests ont généré un plantage du serveur qui constitue en soi la vulnérabilité à une attaque de déni de service. La première, Teamware Office (NT et Solaris, < v.5.3ed1), est tombée en cours de route et présente aussi les aspects du premier ensemble. Puis, OpenLDAP (1.x < v.1.2.12 et 2.x < v.2.0.8), est la seule à avoir passé sans faute les tests de la section "application", mais plante sur l'autre section. Et Microsoft Exchange 5.5 LDAP Service s'est automatiquement mis en berne à chaque tentative de test. Ce qui le rend vulnérable à une attaque de déni de service, mais a le mérite d'empêcher toute intrusion dans les données sensibles.

L'été tourmenté des équipes sécurité chez les éditeurs
Le troisième et dernier ensemble, enfin, correspond aux deux plates-formes sur lesquelles le Cert a obtenu des informations de son côté. Chez IBM, la solution SecureWay Directory a été testée en interne avec l'outil de Protos, et l'éditeur a cru bon d'en avertir le Cert. Seules les versions sous Solaris et Windows 2000 seraient touchées par une attaque de déni de service. Enfin, l'organisme américain a eu vent de vulnérabilités dans Qualcomm Eudora WorldMail v2 sur Windows NT, et a transmis ses craintes aux programmeurs qui enquêtent en ce moment sur les failles de leur produit.

Chez tous les éditeurs vulnérables en dessous de la version précisée entre parenthèse le long de cet article, cette dernière est exempte des failles et peut être téléchargée sur leurs sites. Pour Teamware, les utilisateurs enregistrés rechercheront les documents #010703-0000 (NT) et #010703-0001 (Solaris). Trois autres, en l'occurence Microsoft (citer les références Q303448 et Q303450 au support), IBM (regarder les zones "Server Downloads" et "Software Downloads" du support) et Qualcomm, travaillent encore sur le sujet. Quant à Oracle, ils ont préféré s'abstenir de communiquer sur le sujet auprès du Cert, qui ne donne aucune indication à leur sujet. D'ici l'obtention d'un correctif, il est conseillé de chiffrer toutes les données confidentielles transférées à l'aide d'une clef publique PGP ou DES.