Debians sikkerhedsbulletin

DSA-2164-1 shadow -- utilstrækkelig fornuftighedskontrol af inddata

Rapporteret den:
16. feb 2011
Berørte pakker:
shadow
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-0721.
Yderligere oplysninger:

Kees Cook opdagede at værktøjerne chfn og chsh ikke på korrekt vis fornuftighedskontrollerede inddata fra brugeren som indeholdt linjeskift. En angriber kunne herved ødelægge forekomster i passwd samt måske oprette brugere eller grupper i NIS-miljøer.

Pakkerne i den gamle stabile distribution (lenny) er ikke påvirkede af dette problem.

I den stabile distribution (squeeze), er dette problem rettet i version 1:4.1.4.2+svn3283-2+squeeze1.

I distributionen testing (wheezy) og i den ustabile distributions (sid), vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer dine shadow-pakker.