Säkerhetsbulletin från Debian

DSA-1203-1 libpam-ldap -- programmeringsfel

Rapporterat den:

2006-11-02

Berörda paket:

libpam-ldap

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 392984.
I Mitres CVE-förteckning: CVE-2006-5170.

Ytterligare information:

Steve Rigler upptäckte att PAM-modulen för autentisering mot LDAP-servrar hanterar styrmeddelandet PasswordPolicyReponse på ett felaktigt sätt, vilket kunde leda till att en angripare kunde logga in med ett suspenderat systemkonto.

För den stabila utgåvan (Sarge) har detta problem rättats i version 178-1sarge3. På grund av tekniska problem med buildd-infrastrukturen för säkerhetsuppdateringarna saknas en version för Sun Sparc-arkitekturen i denna uppdatering. Denna kommer att släppas så fort problemen har lösts.

För den instabila utgåvan (Sid) har detta problem rättats i version 180-1.2.

Vi rekommenderar att ni uppgraderar ert libpam-ldap-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:: http://security.debian.org/pool/updates/main/libp/libpam-ldap/libpam-ldap_178-1sarge3.dsc; http://security.debian.org/pool/updates/main/libp/libpam-ldap/libpam-ldap_178-1sarge3.diff.gz; http://security.debian.org/pool/updates/main/libp/libpam-ldap/libpam-ldap_178.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/libp/libpam-ldap/libpam-ldap_178-1sarge3_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/libp/libpam-ldap/libpam-ldap_178-1sarge3_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/libp/libpam-ldap/libpam-ldap_178-1sarge3_arm.deb
HPPA:: http://security.debian.org/pool/updates/main/libp/libpam-ldap/libpam-ldap_178-1sarge3_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/libp/libpam-ldap/libpam-ldap_178-1sarge3_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/libp/libpam-ldap/libpam-ldap_178-1sarge3_ia64.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/libp/libpam-ldap/libpam-ldap_178-1sarge3_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/libp/libpam-ldap/libpam-ldap_178-1sarge3_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/libp/libpam-ldap/libpam-ldap_178-1sarge3_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/libp/libpam-ldap/libpam-ldap_178-1sarge3_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/libp/libpam-ldap/libpam-ldap_178-1sarge3_s390.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.