Tout syst\u00e8me Linux utilisant PAM avec une base d'authentification sous LDAP.
","content":"## Description\n\nParmi les divers modules, pam_ldap permet de g\u00e9rer l'interface avec un\nannuaire LDAP. Cette configuration est g\u00e9n\u00e9ralement utilis\u00e9e lorsque\nl'on souhaite centraliser les donn\u00e9es d'authentification (comme dans le\ncas de NIS). Cependant un probl\u00e8me de cha\u0131ne de format dans le code de\njournalisation de ce module permet d'ex\u00e9cuter du code sur l'h\u00f4te\nr\u00e9alisant l'authentification avec des privil\u00e8ges \u00e9lev\u00e9s (g\u00e9n\u00e9ralement\nroot).\n\n## Solution\n\nMettre \u00e0 jour le module dans une version au moins \u00e9gale \u00e0 la 144.\n\n- Linux Red Hat 6.2, 7.0, 7.1, 7.2 et 7.3\n\n http://rhn.redhat.com/errata/RHSA-2002-084.html\n\n- SCO Open Linux 3.1 et 3.1.1\n\n ftp://ftp.sco.com/pub/security/OpenLinux/CSSA-2002-041.0.txt\n\n- SuSE Linux 7.1, 7.2, 7.3 et 8.0\n\n http://www.suse.de/us/private/download/updates/index.html\n\n- Yellow Dog 2.2\n\n http://www.yellowdoglinux.com/resources/errata/YDU-20020606-2.txt\n","cves":[],"links":[{"title":"Avis de s\u00e9curit\u00e9 Blackshell","url":"http://archives.neohapsis.com/archives/vulnwatch/2002-q2/0053.html"}],"reference":"CERTA-2002-AVI-242","revisions":[{"description":"version initiale.","revision_date":"2002-10-31T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service"},{"description":"\u00c9l\u00e9vation de privil\u00e8ges"}],"summary":"PAM (\u00ab Pluggable Authentication Module \u00bb) est un syst\u00e8me modulaire de\ngestion de la politique d'authentification, utilis\u00e9, entre autres, sur\ntous les syst\u00e8mes d'exploitation Linux r\u00e9cents.\n\nUn bogue dans pam_ldap (versions ant\u00e9rieures\n\u00e0 144) permet \u00e0 un utilisateur mal intentionn\u00e9 d'ex\u00e9cuter du code\nmalicieux.\n","title":"Vuln\u00e9rabilit\u00e9 dans le module d'authentification pam_ldap","vendor_advisories":[]}