Bulletin d'alerte Debian
DSA-1721-1 libpam-krb5 -- Plusieurs vulnérabilités
- Date du rapport :
- 11 février 2009
- Paquets concernés :
- libpam-krb5
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2009-0360, CVE-2009-0361.
- Plus de précisions :
-
Plusieurs vulnérabilités locales ont été découvertes dans le module PAM du MIT Kerberos. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2009-0360
Russ Allbery a découvert que le module PAM Kerberos analysait les paramètres de configuration des variables d'environnement lorsqu'il est exécuté à partir d'un contexte setuid. Cela pourrait conduire à une augmentation de privilèges locaux si un attaquant lance un programme setuid utilisant une authentification PAM via un serveur Kerberos sous son contrôle.
- CVE-2009-0361
Derek Chan a découvert que le module PAM Kerberos permet la réinitialisation de l'identification d'un utilisateur lorsqu'il est exécuté à partir d'un contexte setuidi. Ceci entraîne des risques d'un déni de service local en écrasant le fichier cache d'identification ou une augmentation de privilèges locaux.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.6-1etch1.
Pour la distribution stable a venir (Lenny), ces problèmes ont été corrigés dans la version 3.11-4.
Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.
Nous vous recommandons de mettre à jour votre paquet libpam-krb5.
- CVE-2009-0360
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1.dsc
- http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1.diff.gz
- http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6.orig.tar.gz
- Alpha:
- http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.