Уязвимость обнаружена в Apple Mac OS X Server. Когда используется Kerberos login с LDAPv3 сервером, пароль пользователя передается в открытом виде. 

Сообщается, что уязвима функция Login Window с не установленным
атрибут AuthenticationAuthority. Функция попытается подтвердить подлинность, используя зашифрованный пароль, и затем выполнит
simple bind, который передает пароль в открытом виде. Пользователь, способный контролировать сетевой трафик между OS X сервером и LDAP сервером, может получить пароль в течении передачи. 

Уязвимость обнаружена в Mac OS X 10.2.



Оставить мнение