1. Bulletin de Sécurité Gentoo
| Référence | GLSA 200603-13 / pear-auth |
| Date de Parution | 17 Mars 2006 |
| Impact | Normal |
| Exploitabilité | Distante |
2. Versions affectées
| Package | Vulnérables | Non-affectées | Architecture(s) |
| dev-php/PEAR-Auth | < 1.2.4 | >= 1.2.4 | Toutes |
3. Synopsis
PEAR-Auth ne vérifie pas correctement les données envoyées aux conteneurs DB et LDAP, permettant ainsi le contournement des mesures d'authentification.
4. Informations
PEAR-Auth est un package PEAR qui fournit plusieurs fonctions utilisables pour créer un système nécessitant une authentification en PHP.
5. Description
Matt Van Gundy a découvert que PEAR-Auth ne valide pas correctement les informations envoyées aux conteneurs Base de donnée et LDAP.
6. Impact de la faille
Un attaquant distant peut exploiter cette vulnérabilité pour contourner les mécanismes d'authentification en injectant certaines entrées spécifiquement forgées dans les conteneurs sous-jacents.
7. Solution de contournement
Il n'existe aucune solution de contournement à l'heure actuelle.
8. Correction de la faille
Les utilisateurs du PEAR-Auth doivent mettre à jour ce dernier.
# emerge --sync # emerge --ask --oneshot --verbose ">=dev-php/PEAR-Auth-1.2.4"
9. Références