Säkerhetsbulletin från Debian

DSA-421-1 mod-auth-shadow -- livslängd på lösenord

Rapporterat den:

2004-01-12

Berörda paket:

mod-auth-shadow

Sårbara:

Referenser i säkerhetsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 9404.
I Mitres CVE-förteckning: CVE-2004-0041.

Ytterligare information:

David B Harris upptäckte problem med mod-auth-shadow, en Apachemodul som autentiserar användare mot systemets skugglösenordsdatabas, där informationen om huruvida ett lösenord har gått ut inte hanterades. Denna sårbarhet kunde göra det möjligt för en i övrigt auktoriserad användare att framgångsrikt kunna logga in när försöket skulle ha förhindrats på grund av att lösenordet gått ut.

För den nuvarande stabila utgåvan (Woody) har detta problem rättats i version 1.3-3.1woody.1

För den instabila utgåvan (Sid) har detta problem rättats i version 1.4-1.

Vi rekommenderar att ni uppgraderar ert mod-auth-shadow-paket.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/mod-auth-shadow_1.3-3.1woody.1.dsc; http://security.debian.org/pool/updates/main/m/mod-auth-shadow/mod-auth-shadow_1.3-3.1woody.1.diff.gz; http://security.debian.org/pool/updates/main/m/mod-auth-shadow/mod-auth-shadow_1.3.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.