Delicious Digg Facebook Favorites More Stumbleupon Twitter

Vigil@nce – Akeeba Backup pour WordPress et Joomla : obtention d’information

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut envoyer de nombreuses requêtes d’accès aux sauvegardes à Akeeba Backup, afin de deviner le secret d’authentification.

Produits concernés : Joomla Extensions, WordPress Plugins

Gravité : 1/4

Date création : 21/08/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit Akeeba Backup dispose d’un service web basé sur JSON.

Ce service peut ête utilisé pour accéder aux sauvegardes et exige une authentification. Cependant, les détails de la réponse du serveur donnent une indication sur le résultat d’une opération de déchiffrement faisant partie de l’authentification. Un attaquant peut alors retrouver le premier octet du secret sans avoir à trouver de bloc AES complet et correct, soit en environ 2500 essais. Il est envisageable que les octets suivants s’obtiennent de la même manière à partir des précédents.

Un attaquant peut donc envoyer de nombreuses requêtes d’accès aux sauvegardes à Akeeba Backup, afin de deviner le secret d’authentification.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/A…

Source: Global Security Mag

Text Widget

Aliquam ut tellus ligula. Nam blandit massa nec neque rutrum a euismod t ellus ultricies! Phasellus nulla tellus, fringilla quis tristique ornare, condi mentum non erat. Aliquam congue or nare varius.