Рекомендация Debian по безопасности

DSA-1721-1 libpam-krb5 -- несколько уязвимостей

Дата сообщения:
11.02.2009
Затронутые пакеты:
libpam-krb5
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2009-0360, CVE-2009-0361.
Более подробная информация:

В модуле PAM для MIT Kerberos было обнаружено несколько локальных уязвимостей . Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2009-0360

    Рас Олбери обнаружил, что PAM-модуль Kerberos выполняет грамматический разбор параметров настройки из переменных окружения при запуске из setuid-контекста. Это может приводить к локальному повышению привилегий в случае, если злоумышленник указывает программу с setuid, используя PAM-аутентификацию для настройки Kerberos под своим контролем.

  • CVE-2009-0361

    Дерек Чан обнаружил, что PAM-модуль Kerberos позволяет производить повторную инициализацию данных пользовательской учётной записи при запуске из setuid-контекста, что приводит к потенциальному локальному отказу в обслуживании из-за перезаписи кеш-файла с данными учётной записи или к повышению привилегий.

В стабильном выпуске (etch) эти проблемы были исправлены в версии 2.6-1etch1.

В готовящемся стабильном выпуске (lenny) эти проблемы были исправлены в версии 3.11-4.

В нестабильном выпуске (sid) эти проблемы будут исправлены позже.

Рекомендуется обновить пакет libpam-krb5.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1.dsc
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6.orig.tar.gz
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1.diff.gz
Alpha:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.