Risque

  • Contournement de la politique de sécurité

Systèmes affectés

  • Mandriva 2006.0 ;
  • Mandriva 2007.0 ;
  • Mandriva CS4.0.

Résumé

PAM (Pluggable Authentification Module) est un système de gestion de la politique d'authentification. Parmi les modules, pam_ldap permet de gérer l'interface avec un annuaire ldap. Une vulnérabilité dans le module pam_ldap pourrait être exploitée afin de contourner la politique de sécurité en faussant la phase d'authentification.

Description

La vulnérabilité du module pam_ldap provoque une réponse positive de la fonction pam_authenticate même si l'authentification du client pam_ldap a échoué. Cette vulnérabilité permet donc à un attaquant de se connecter de façon illégitime.

Contournement provisoire

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation