Avis du CERT-FR

Objet: Vulnérabilité sur Citrix MetaFrame Password Manager

Gestion du document

Référence	CERTA-2004-AVI-108
Titre	Vulnérabilité sur Citrix MetaFrame Password Manager
Date de la première version	06 avril 2004
Date de la dernière version	06 avril 2004
Source(s)	Avis de sécurité Citrix
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Accès à des informations confidentielles.

Systèmes affectés

Citrix MetaFrame Password Manager 2.x.

Résumé

Une vulnérabilité présente dans Citrix MetaFrame Password Manager 2.x permet à un utilisateur mal intentionné de découvrir les informations d'authentification.

Description

L'utilisation de l'assistant « première utilisation » (First Time Use) de Citrix MetaFrame Password Manager entraîne une faiblesse sur l'enregistrement des mots de passe. En effet, ces mots de passe seront seulement encodés et non chiffrés.

Le problème n'existe pas si l'administrateur a configuré un point unique pour le stockage des mots de passe.

Solution

Appliquer le correctif (cf. section documentation).

Documentation

Correctif MPME100W001 :

http://support.citrix.com/kb/entry.jspa?entryID=4062

Avis de sécurité Citrix :

http://support.citrix.com/kb/entry.jspa?entryID=4063&categoryID=254

Gestion détaillée du document

le 06 avril 2004: version initiale.