Vulnérabilité: CVE-2020-4042

Bareos avant la version 19.2.8 et antérieures permet à un client malveillant de communiquer avec le directeur sans connaissance du secret partagé si le directeur permet une connexion initiée client et se connecte au client lui-même. Le client malveillant peut rejouer le cram-md5 du directeur Bareos défi au directeur lui-même conduit au directeur face au défi rejoué. La réponse obtenue est alors une réponse valable aux directeurs défi d’origine. Ce problème est résolu dans la version 19.2.8.


https://github.com/bareos/bareos/security/advisories/GHSA-vqpj-2vhj-h752
https://github.com/bareos/bareos/security/advisories/GHSA-vqpj-2vhj-h752
https://bugs.bareos.org/view.php?id=1250
https://bugs.bareos.org/view.php?id=1250
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4042


Il est possible de laisser un commentaire en tant qu'utilisateur enregistré du site, accédant par les réseaux sociaux, compte wordpress ou en tant qu'utilisateur anonyme. Si vous souhaitez laisser un commentaire en tant qu'utilisateur anonyme, vous serez informé par courrier électronique d'une réponse possible uniquement si vous saisissez votre adresse électronique (facultatif). L'inclusion de toute donnée dans les champs de commentaires est totalement facultative. Toute personne qui décide de saisir des données accepte le traitement de celles-ci pour les finalités inhérentes au service ou la réponse au commentaire et aux communications strictement nécessaires.


Laisser un commentaire