Bulletin d'alerte Debian

DSA-177-1 pam -- Sérieuse violation de sécurité

Date du rapport :
17 octobre 2002
Paquets concernés :
pam
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2002-1227.
Plus de précisions :

Une sérieuse violation de sécurité a été découverte dans PAM. Les mots de passe désactivés (c'est-à-dire ceux qui ont « * » dans le fichier de mots de passe) étaient classés comme mot de passe vide et donc on pouvait accéder avec ces comptes via n'importe quelle procédure d'identification (getty, telnet, ssh). Ceci fonctionne pour tous les comptes dont le champ shell dans le fichier de mots de passe ne réfère pas à /bin/false. Seule, la version 0.76 de PAM est affectée par ce problème.

Ce problème est réglé dans la version 0.76-6 pour l'actuelle distribution instable (Sid). La distribution stable (Woody), l'ancienne distribution stable (Potato) et la distribution en développement (Sarge) ne sont pas affectées.

Comme il est stipulé dans la FAQ de l'équipe Debian de sécurité, les versions testing et unstable sont soumises à de rapides changements et l'équipe de sécurité n'a pas les ressources pour les maintenir. Cette annonce de sécurité est une exception à cette règle du fait de la gravité de la faille.

Nous vous recommandons de mettre à jour vos paquets PAM immédiatement si vous utilisez Debian/unstable.

Corrigé dans :

Debian GNU/Linux unstable (sid)

Source :
http://ftp.debian.org/debian/pool/main/p/pam/pam_0.76-6.dsc
http://ftp.debian.org/debian/pool/main/p/pam/pam_0.76-6.diff.gz
http://ftp.debian.org/debian/pool/main/p/pam/pam_0.76.orig.tar.gz
Composant indépendant de l'architecture :
http://ftp.debian.org/debian/pool/main/p/pam/libpam-doc_0.76-6_all.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam-runtime_0.76-6_all.deb
Alpha:
http://ftp.debian.org/debian/pool/main/p/pam/libpam-cracklib_0.76-6_alpha.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam-modules_0.76-6_alpha.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g_0.76-6_alpha.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g-dev_0.76-6_alpha.deb
ARM:
http://ftp.debian.org/debian/pool/main/p/pam/libpam-cracklib_0.76-6_arm.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam-modules_0.76-6_arm.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g_0.76-6_arm.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g-dev_0.76-6_arm.deb
Intel IA-32:
http://ftp.debian.org/debian/pool/main/p/pam/libpam-cracklib_0.76-6_i386.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam-modules_0.76-6_i386.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g_0.76-6_i386.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g-dev_0.76-6_i386.deb
Intel IA-64:
http://ftp.debian.org/debian/pool/main/p/pam/libpam-cracklib_0.76-6_ia64.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam-modules_0.76-6_ia64.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g_0.76-6_ia64.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g-dev_0.76-6_ia64.deb
HP Precision:
http://ftp.debian.org/debian/pool/main/p/pam/libpam-cracklib_0.76-6_hppa.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam-modules_0.76-6_hppa.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g_0.76-6_hppa.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g-dev_0.76-6_hppa.deb
Motorola 680x0:
http://ftp.debian.org/debian/pool/main/p/pam/libpam-cracklib_0.76-6_m68k.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam-modules_0.76-6_m68k.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g_0.76-6_m68k.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g-dev_0.76-6_m68k.deb
Big endian MIPS:
http://ftp.debian.org/debian/pool/main/p/pam/libpam-cracklib_0.76-6_mips.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam-modules_0.76-6_mips.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g_0.76-6_mips.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g-dev_0.76-6_mips.deb
Little endian MIPS:
http://ftp.debian.org/debian/pool/main/p/pam/libpam-cracklib_0.76-6_mipsel.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam-modules_0.76-6_mipsel.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g_0.76-6_mipsel.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g-dev_0.76-6_mipsel.deb
PowerPC:
http://ftp.debian.org/debian/pool/main/p/pam/libpam-cracklib_0.76-6_powerpc.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam-modules_0.76-6_powerpc.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g_0.76-6_powerpc.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g-dev_0.76-6_powerpc.deb
IBM S/390:
http://ftp.debian.org/debian/pool/main/p/pam/libpam-cracklib_0.76-6_s390.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam-modules_0.76-6_s390.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g_0.76-6_s390.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g-dev_0.76-6_s390.deb
Sun Sparc:
http://ftp.debian.org/debian/pool/main/p/pam/libpam-cracklib_0.76-6_sparc.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam-modules_0.76-6_sparc.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g_0.76-6_sparc.deb
http://ftp.debian.org/debian/pool/main/p/pam/libpam0g-dev_0.76-6_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.