Debians sikkerhedsbulletin

DSA-1721-1 libpam-krb5 -- flere sårbarheder

Rapporteret den:
11. feb 2009
Berørte pakker:
libpam-krb5
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2009-0360, CVE-2009-0361.
Yderligere oplysninger:

Flere lokale sårbarheder er opdaget i PAM-modulet til MIT Kerberos. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2009-0360

    Russ Allbery opdagede at Kerberos' PAM-modul fortolkede konfigurationsindstillinger fra miljøvariable, når der blev kørt fra en setuid-kontekst. Det kunne føre til lokal rettighedsforøgelse hvis en angriber pegede et setuid-program, som anvender PAM-autentifikation, hen på en Kerberos-opsætning under vedkommendes kontrol.

  • CVE-2009-0361

    Derek Chan opdagede at Kerberos' PAM-modul tillod geninitialisering af brugeroplysninger, når det blev kørt fra en setuid-kontekst, potentielt medførende et lokalt lammelsesangreb (denial of service) ved at overskrive oplysningscachefilen eller førende til rettighedsforøgelse.

I den stabile distribution (etch), er disse problemer rettet i version 2.6-1etch1.

I den kommende stabile distribution (lenny), er disse problemer rettet i version 3.11-4.

I den ustabile distribution (sid), vil disse problemer snart blive rettet.

Vi anbefaler at du opgraderer din libpam-krb5-pakke.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1.dsc
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6.orig.tar.gz
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1.diff.gz
Alpha:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.