18/07/01
Des
failles à gogo dans les serveurs LDAP
La journée de lundi
a été plutôt mauvaise pour les éditeurs
d'annuaires d'entreprise basés sur le protocole
LDap (Lightweight directory access protocol). En effet,
un nouveau communiqué
de l'organisme fédéral américain
Cert
(Computer emergency response team) vient de balayer le
marché sur la base d'informations fournies par
le projet finlandais de recherche Protos.
Issu d'un partenariat entre l'université
de Oulu et l'organisation gouvernementale indépendante
VTT
Electronics, celui-ci a pour rôle d'étudier
les méthodes qui permettent de tester les failles
de sécurité dans l'implémentation
des protocoles. Résultat, les tests effectués
sur LDap, qui gère la façon dont sont stockés
les profils des collaborateurs et les procédures
d'authentification par mots de passe, mettent à
mal les solutions de 9 éditeurs différents.
Pour
mener les tests, les équipes du projet Protos ont
déployé une méthodologie très
stricte avec leur outil dédié Protos LDAPv3.
L'évaluation des risques dans la réponse
des serveurs à l'envoi de paquets de données
corrompus a porté sur deux sections de 77 groupes
de tests chacune. Au total, 6 685 cas sont étudiés.
La première section, intitulée "encoding",
examine la violation par ces paquets d'un ensemble de
règles du nom de BER (Basic encoding rules), qui
permettent de représenter et de transformer le
mode de description de diverses données ASN.1 (Abstract
Syntax Notation One) en une chaîne d'octets. La
deuxième section, dite "application",
observe la réponse à des paquets exploitant
des anomalies spécifiques à LDap.
Données
confidentielles lues et serveurs par terre
Parmi
les 9 solutions stressées, dont 7 par
le projet Protos, le premier ensemble d'annuaires d'entreprise
intègre ceux qui permettent à un pirate
d'accéder aux données confidentielles. Le
signe "<" indique que toutes les versions
inférieures à celle indiquée sont
vulnérables. Les liens sur les versions donnent
accès aux endroits où sont/seront placés
les correctifs quand l'éditeur a pris soin de les
proposer. Sinon, il est préférable de le
contacter directement. Les quatre plates-formes de cet
ensemble sont iPlanet
Directory Server (v.Bêta de la 5.0 et < 4.13),
Lotus
Domino R5 Server (< 5.0.7a),
Network Associates
PGP Keyserver (7.0 quand < hotfix
v.2), et Oracle
8i Enterprise Edition. Cette dernière peut paraître
la plus faillible avec sur la partie "application",
46 sections touchées sur 77. Mais le Cert
rappelle que certaines failles peuvent être réparties
entre plusieurs sections, ce qui ne permet pas d'établir
un "palmarès". Dans cet ensemble, au
moins une vulnérabilité a été
exploitée en laboratoire sur chaque solution testée.
Les trois plates-formes de l'ensemble suivant n'ont pu
être testées de bout en bout, car les tests
ont généré un plantage du serveur
qui constitue en soi la vulnérabilité à
une attaque de déni de service. La première,
Teamware
Office (NT et Solaris, < v.5.3ed1), est tombée
en cours de route et présente aussi les aspects
du premier ensemble. Puis, OpenLDAP
(1.x < v.1.2.12
et 2.x < v.2.0.8),
est la seule à avoir passé sans faute les
tests de la section "application", mais plante
sur l'autre section. Et Microsoft
Exchange 5.5 LDAP Service s'est automatiquement mis en
berne à chaque tentative de test. Ce qui le rend
vulnérable à une attaque de déni
de service, mais a le mérite d'empêcher toute
intrusion dans les données sensibles.
L'été
tourmenté des équipes sécurité
chez les éditeurs
Le troisième
et dernier ensemble, enfin, correspond aux deux plates-formes
sur lesquelles le Cert a obtenu des informations de son
côté. Chez IBM,
la solution SecureWay Directory a été testée
en interne avec l'outil de Protos, et l'éditeur
a cru bon d'en avertir le Cert. Seules les versions sous
Solaris et Windows 2000 seraient touchées par une
attaque de déni de service. Enfin, l'organisme
américain a eu vent de vulnérabilités
dans Qualcomm
Eudora WorldMail v2 sur Windows NT, et a transmis ses
craintes aux programmeurs qui enquêtent en ce moment
sur les failles de leur produit.
Chez tous les éditeurs vulnérables en dessous
de la version précisée entre parenthèse
le long de cet article, cette dernière est exempte
des failles et peut être téléchargée
sur leurs sites. Pour Teamware, les utilisateurs enregistrés
rechercheront les documents
#010703-0000 (NT) et #010703-0001 (Solaris). Trois autres,
en l'occurence Microsoft (citer les références
Q303448 et Q303450 au support),
IBM (regarder les zones "Server Downloads" et
"Software Downloads" du support)
et Qualcomm, travaillent encore sur le sujet. Quant à
Oracle, ils ont préféré s'abstenir
de communiquer sur le sujet auprès du Cert, qui
ne donne aucune indication à leur sujet. D'ici
l'obtention d'un correctif, il est conseillé de
chiffrer toutes les données confidentielles transférées
à l'aide d'une clef publique PGP ou DES.
|