Posh : security Hole

I found a way to obtain the admin password (not encrypted) on any installation of posh. This hole is based on the exploitation of 2 major security issues :

  1. Admin password is stored as is in the DB (neither encrypted nor hashed)
  2. SQL injection is possible using a form

I contacted Eric Mathieu about this problem, I’m currently waiting on an answer.

I’ll post more detail after hole correction on portaneo.com.

Commentaires

4 Comments sur « Posh : security Hole »

  1. Spica dit :

    hum… Ca m’a pas l’air très sérieux tout ça ?!

  2. Ghusse dit :

    C’est un projet très très jeune… Défauts de jeunesse.

  3. herisson26 dit :

    Mouais…
    Le stockage en clair des mots de passe, c’est pas le premier truc qu’on apprend à éviter en sécurité ?

    (Oui, d’accord, une loi en cours d’évaluation serait susceptible de rendre obligatoire le stockage des passes en clair. Mais on n’en est pas là.)

  4. Ghusse dit :

    Non, la première chose qu’on apprend c’est à faire une analyse des risques. Promis.

    En deuxième y’a la crypto (et c’est chiant).

Laisser un commentaire