Bulletin d'alerte Debian

DSA-2164-1 shadow -- Vérification insuffisante des entrées

Date du rapport :
16 février 2011
Paquets concernés :
shadow
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-0721.
Plus de précisions :

Kees Cook a découvert que les utilitaires chfn et chsh ne vérifient pas les entrées d'utilisateurs qui contiennent des retours à la ligne. Un attaquant pourrait utiliser cela pour corrompre les entrées de mots de passe et créer des utilisateurs ou des groupes dans les environnements NIS.

Les paquets de la distribution oldstable (Lenny) ne sont pas concernés par ce problème.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 1:4.1.4.2+svn3283-2+squeeze1.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets shadow.