S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 janvier 2005
N° CERTA-2005-AVI-013
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de poppassd_pam

Gestion du document

Référence CERTA-2005-AVI-013
Titre Vulnérabilité de poppassd_pam
Date de la première version13 janvier 2005
Date de la dernière version13 janvier 2005
Source(s) Bulletin de sécurité Gentoo GLSA-200501-22 du 11 janvier 2005
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Déni de service

Systèmes affectés

  • poppassd_ceti 1.0 et versions antérieures ;
  • poppassd_pam 1.0 et vesions antérieures.

Description

poppassd_pam est une bibliothèque utilisée pour modifier les mots de passes des serveurs POP.

Une vulnérabilité découverte dans la bibliothèque poppassd_pam permet à utilisateur distant mal intentionné de changer le mot de passe de n'importe quel utilisateur du système vulnérable, y compris le mot de passe du compte root (administrateur). Cette vulnérabilité est causée par une mauvaise vérification de l'ancien mot de passe.

Solution

Se réferer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. Documentation).

Documentation

Gestion détaillée du document

    le 13 janvier 2005
    version initiale.