Aviso de seguridad de Debian

DSA-659-1 libpam-radius-auth -- exposición de información, desbordamiento de entero

Fecha del informe:
26 de ene de 2005
Paquetes afectados:
libpam-radius-auth
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2004-1340, CVE-2005-0108.
Información adicional:

Se han descubierto dos problemas en el paquete libpam-radius-auth, el módulo de autenticación PAM de RADIUS. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:

  • CAN-2004-1340

    El paquete de Debian instalaba por error su archivo de configuración /etc/pam_radius_auth.conf como legible por todos. Por ello, era posible que contuviera secretos que todos los usuarios pudieran leer si el administrador no hubiera corregido los permisos del archivo. Este problema es específico de Debian.

  • CAN-2005-0108

    Leon Juranic descubrió un desbordamiento de entero en el módulo mod_auth_radius de Apache que también estaba presente en libpam-radius-auth.

Para la distribución estable (woody), estos problemas se han corregido en la versión 1.3.14-1.3.

Para la distribución estable (sid), estos problemas se han corregido en la versión 1.3.16-3.

Le recomendamos que actualice el paquete libpam-radius-auth package.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3.dsc
http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3.diff.gz
http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.