Risque
- Contournement de la politique de sécurité
Systèmes affectés
- Mandriva 2006.0 ;
- Mandriva 2007.0 ;
- Mandriva CS4.0.
Résumé
PAM (Pluggable Authentification Module) est un système de gestion de la politique d'authentification. Parmi les modules, pam_ldap permet de gérer l'interface avec un annuaire ldap. Une vulnérabilité dans le module pam_ldap pourrait être exploitée afin de contourner la politique de sécurité en faussant la phase d'authentification.
Description
La vulnérabilité du module pam_ldap provoque une réponse positive de la fonction pam_authenticate même si l'authentification du client pam_ldap a échoué. Cette vulnérabilité permet donc à un attaquant de se connecter de façon illégitime.
Contournement provisoire
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Mandriva MDKSA-2006:201 du 09 novembre 2006 : http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:201