Projet PROTOS (test des implémentations de protocoles)
Date : 11 Juillet 2005
Comme cela a été présenté à la conférence du FIRST en juin 2001 (compte-rendu disponible sur le site privé du Cert-IST : https://wws.cert-ist.com/francais/cr/CR-01-002.pdf), le projet PROTOS propose une approche plus systématique pour la recherche des bugs de sécurité (‘Introducing constructive vulnerabilities disclosures') : plutôt que de publier les bugs trouvés "par hasard" au fur et à mesure de l'utilisation d'un produit, PROTOS construit une suite de tests basé sur la spécification du produit ou du protocole.
Après avoir publié en mai les résultats du test des implémentations du protocole WAP (Wireless Application Protocol), le projet PROTOS a publié ce mois-ci ceux concernant son étude sur la robustesse des implémentations LDAP.
Pour tester les implémentations du protocole LDAP, PROTOS a évalué la robustesse des serveurs LDAP en leur envoyant des requêtes LDAP et des codages BER incongrus. Les problèmes de robustesse des serveurs ont été évalués selon leurs implications en matière de sécurité. Une étude a été faite pour identifier les standards, les implémentations existantes et choisir les cibles. PROTOS a conduit ces tests et en a publié un rapport, faisant apparaître que de nombreuses implémentations ont été mises en défaut lors de ces tests, certains de ces échecs ayant des conséquences en terme de sécurité devant être regardés comme des vulnérabilités.
Les résultats des tests sur le protocole LDAP faits ce mois-ci sont particulièrement éloquents : la majorité des implémentations contiennent des bogues dont certaines peuvent avoir des impacts de sécurité.
Parmi les produits vulnérables, on peut citer : iPlanet Directory Server, IBM SecureWay, Lotus Domino R5, Teamware Office, Qualcomm Eudora WorldMail, Microsoft Exchange 5.5, Network Associates PGP Keyserver, Oracle 8i Enterprise Edition et OpenLDAP 1.x.
L'avis CERT-IST/AV-2001.181 décrit les produits vulnérables et la solution à utiliser.
Pour plus d'information :
- Projet PROTOS : http://www.ee.oulu.fi/research/ouspg/protos/
- Résultats des test PROTOS sur les implémentations LDAP : http://www.ee.oulu.fi/research/ouspg/protos/testing/c06/ldapv3/
- Référence de l'avis du CERT-IST : CERT-IST/AV-2001.181
- Site du FIRST : http://www.first.org/