Proponha uma correção, faça uma sugestão
Vulnerabilidade no gestor de identidades da Novell
Foi encontrada uma vulnerabilidade grave no gestor de identidades da Novell utilizado por diversas instituições a nível mundial. A vulnerabilidade consiste na autenticação com qualquer utilizador utilizando como palavra-passe ' ' (Espaço) para além da definida pelo próprio.
Foi encontrada uma vulnerabilidade grave no gestor de identidades da Novell utilizado por diversas instituições a nível mundial.
A vulnerabilidade consiste na autenticação com qualquer utilizador utilizando como palavra-passe ' ' (Espaço) para além da definida pelo próprio.
Após a entrada no sistema é possível alterar as respostas ás perguntas de segurança e através dos mecanismos de recuperação da palavra-passe proceder à alteração da mesma.
Com a palavra-passe alterada, pode dar acesso não só à página, mas possivelmente a todos os serviços com que o gestor de passwords sincroniza, como por exemplo email, VPN, etc...
Em Portugal a falha está presente em pelo menos uma instituição pública, cujo nome não será revelado por questões de segurança.
Nota: Esta falha já foi reportada.
Este artigo tem mais de um ano
Loading ...
Realmente a falha ainda está lá presente! 😐
Nao é novo. Inclusive antigamente quando era necessario dazer reset a passwords entravamos com a password espaço…
Parece-me uma falha basica de SQL injection. Além disso, para isto acontecer, a query deve estar a verificar a password directamente na base de dados, o que significa que as passwords são guardadas na sua forma original e não em forma de hash…
Se é realmente assim, em termos de segurança estão um pouco aquém…