Une faille de sécurité dans Lion attend toujours sa correction
Depuis la sortie de Lion à la fin juillet, une faille de sécurité avec des implications dans les entreprises attend son correctif. Le bug survient lorsque l'utilisateur doit se déclarer auprès d'un serveur d'annuaire et d'authentification de type LDAP (qui lui donnera ensuite accès aux ressources souhaitées).
Comme l'ont observé des administrateurs système, il suffit d'avoir l'identifiant d'une personne et d'entrer un quelconque mot de passe pour valider cet accès. Sachant que dans les entreprises les identifiants sont le plus souvent codifiés sur un principe identique pour tous, ce n'est pas l'information la plus compliquée à deviner. Cet accès facilité peut se faire aussi bien au travers de l'interface graphique de Lion que par une connexion au serveur via un tunnel SSH. Le problème n'existait pas avec Snow Leopard.
Apple aurait réussi à reproduire ce bug affirme The H Security. Mais la version 10.7.1 de Lion est arrivée sans correctif et il n'y a pas d'autre solution que de désactiver l'authentification par LDAP en l'attendant.
Comme l'ont observé des administrateurs système, il suffit d'avoir l'identifiant d'une personne et d'entrer un quelconque mot de passe pour valider cet accès. Sachant que dans les entreprises les identifiants sont le plus souvent codifiés sur un principe identique pour tous, ce n'est pas l'information la plus compliquée à deviner. Cet accès facilité peut se faire aussi bien au travers de l'interface graphique de Lion que par une connexion au serveur via un tunnel SSH. Le problème n'existait pas avec Snow Leopard.
Apple aurait réussi à reproduire ce bug affirme The H Security. Mais la version 10.7.1 de Lion est arrivée sans correctif et il n'y a pas d'autre solution que de désactiver l'authentification par LDAP en l'attendant.
Pages