Bulletin d'alerte Debian

DSA-1721-1 libpam-krb5 -- Plusieurs vulnérabilités

Date du rapport :
11 février 2009
Paquets concernés :
libpam-krb5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2009-0360, CVE-2009-0361.
Plus de précisions :

Plusieurs vulnérabilités locales ont été découvertes dans le module PAM du MIT Kerberos. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2009-0360

    Russ Allbery a découvert que le module PAM Kerberos analysait les paramètres de configuration des variables d'environnement lorsqu'il est exécuté à partir d'un contexte setuid. Cela pourrait conduire à une augmentation de privilèges locaux si un attaquant lance un programme setuid utilisant une authentification PAM via un serveur Kerberos sous son contrôle.

  • CVE-2009-0361

    Derek Chan a découvert que le module PAM Kerberos permet la réinitialisation de l'identification d'un utilisateur lorsqu'il est exécuté à partir d'un contexte setuidi. Ceci entraîne des risques d'un déni de service local en écrasant le fichier cache d'identification ou une augmentation de privilèges locaux.

Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.6-1etch1.

Pour la distribution stable a venir (Lenny), ces problèmes ont été corrigés dans la version 3.11-4.

Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour votre paquet libpam-krb5.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1.dsc
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6.orig.tar.gz
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1.diff.gz
Alpha:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/libp/libpam-krb5/libpam-krb5_2.6-1etch1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.