CASSER L'AUTHENTIFICATION IBM WEBSPHERE EN ABUSANT DES FAILLES CRYPTOGRAPHIQUES DANS LES JETONS LTPA

Tom Tervoort, de Bureau Veritas Cybersécurité, a découvert deux vulnérabilités et expositions communes (CVE) dans l'authentification WebSphere d'IBM. Les vulnérabilités sont liées au jeton LTPA2, un type de jeton populaire utilisé dans IBM Websphere Liberty. Il recommande d'installer immédiatement les correctifs d'IBM et, si possible, d'éviter les jetons LTPA pour les nouvelles applications. Téléchargez le livre blanc ici :

Téléchargez le livre blanc ici >

Les jetons sont un moyen moderne de partager des identifiants d'authentification entre des services web. Les protocoles cryptographiques sont censés protéger ces jetons, mais comme nous le savons, la cryptographie est difficile. Au cours de ses recherches, Tom a découvert deux CVE concernant des contournements d'authentification et des élévations de privilèges.

INSTALLEZ LES CORRECTIFS IMMÉDIATEMENT

Les vulnérabilités ont été divulguées de manière responsable à IBM, ce qui a donné lieu à des correctifs. Si vous avez une application qui utilise WebSphere Liberty ou Open Liberty et qui utilise (éventuellement) l'authentification LTPA, nous vous recommandons d'installer ces correctifs immédiatement.

En général, Tom déconseille l'utilisation des jetons LTPA pour les nouvelles applications : la cryptographie sous-jacente ne suit pas les meilleures pratiques et ces attaques ont montré que la complexité du protocole est sensible aux erreurs d'implémentation. Dans ce livre blanc, il présente les détails techniques.

Télécharger le livre blanc

Téléchargez le livre blanc avec les détails techniques de deux vulnérabilités et expositions communes (CVE) dans l'authentification WebSphere d'IBM.

Download

À PROPOS DE L'AUTEUR

Tom Tervoort, spécialiste principal de la sécurité au Bureau Veritas Cybersecurity

Tom Tervoort, spécialiste principal de la sécurité chez Bureau Veritas Cybersécurité, travaille dans l'entreprise depuis 2016. Il a de l'expérience dans divers types d'évaluations techniques de la sécurité et effectue des recherches sur les vulnérabilités en se concentrant sur les systèmes cryptographiques. Il a remporté le Pwnie Award 2020 de la meilleure attaque cryptographique pour sa découverte de la vulnérabilité Zerologon.

Découvrez les VULNERABILITES DE VOS SYSTEMES

Pour découvrir les vulnérabilités de vos systèmes, Bureau Veritas Cybersecurity propose une gamme de services. Pour en savoir plus, remplissez le formulaire ci-dessous et un expert vous contactera dans un délai d'un jour ouvrable.

Prénom

Nom de famille

Entreprise / Organisation

Numéro de téléphone

Comment pouvons-nous vous aider ?

J'autorise le traitement de mes données conformément à la politique de confidentialité et j'accepte les conditions générales.

J'accepte que Bureau Veritas Cybersecurity utilise ces données pour me fournir des informations supplémentaires sur ses services, événements ou sujets susceptibles de m'intéresser.