nous veillons pour votre sécurité depuis 1999

vulnérabilités

L'équipe Vigil@nce veille les vulnérabilités qui affectent votre parc informatique, puis propose les correctifs, une base et les outils pour y remédier.

vulnérabilités récentes

produits suivis

fil RSS

vulnérabilité

vulnérabilité CVE-2012-3466

GNOME Keyring : non expiration du cache gpg

Synthèse de la vulnérabilité

Les données d'authentification stockées dans le cache gpg de GNOME Keyring n'expirent pas après la durée d'inactivité définie par l'administrateur.
Produits concernés : Fedora, MBS, openSUSE, Unix (plateforme).
Gravité : 1/4.
Date création : 09/08/2012.
Références : 681081, 845426, BID-54920, CVE-2012-3466, FEDORA-2012-12368, MDVSA-2013:084, openSUSE-SU-2012:1121-1, VIGILANCE-VUL-11835.

Description de la vulnérabilité

L'outil GNOME Keyring stocke les mots de passe (session, ssh, gpg, etc.) de l'utilisateur, afin qu'il ne soient plus demandés.

L'option org.gnome.crypto.cache gpg-cache-ttl (en mode "idle") définit la durée d'expiration des données stockées. Cependant, le fichier daemon/gpg-agent/gkd-gpg-agent-ops.c, qui implémente le cache gpg, n'utilise pas cette option.

Les données d'authentification stockées dans le cache gpg de GNOME Keyring n'expirent donc pas après la durée d'inactivité définie par l'administrateur.
Bulletin Vigil@nce complet.... (accès gratuit)

Partagez ce bulletin

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit un patch de vulnérabilité de logiciel. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.