Debian-Sicherheitsankündigung
DSA-659-1 libpam-radius-auth -- Informationsleck, Integer-Unterlauf
- Datum des Berichts:
- 26. Jan 2005
- Betroffene Pakete:
- libpam-radius-auth
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2004-1340, CVE-2005-0108.
- Weitere Informationen:
-
Im libpam-radius-auth-Paket, dem PAM-RADIUS-Authentifizierungsmodul, wurden zwei Probleme entdeckt. Das
Common Vulnerabilities and Exposures Project
identifiziert die folgenden Probleme:- CAN-2004-1340
Das Debian-Paket installierte seine Konfigurationsdatei /etc/pam_radius_auth.conf versehentlich mit Leserechten für alle. Diese Datei enthält möglicherweise Geheimnisse, die von allen Benutzern gelesen werden können, wenn der Administrator die Dateirechte nicht angepasst hat. Dieses Problem tritt nur bei Debian auf.
- CAN-2005-0108
Leon Juranic entdeckte einen Integer-Unterlauf im Apache-Modul mod_auth_radius, welcher in libpam-radius-auth ebenfalls enthalten ist.
Für die Stable-Distribution (Woody) wurden diese Probleme in Version 1.3.14-1.3 behoben.
Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 1.3.16-3 behoben.
Wir empfehlen Ihnen, Ihr libpam-radius-auth-Paket zu aktualisieren.
- CAN-2004-1340
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3.dsc
- http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3.diff.gz
- http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14.orig.tar.gz
- http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/libp/libpam-radius-auth/libpam-radius-auth_1.3.14-1.3_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.