Risque
- Contournement de la politique de sécurité
Systèmes affectés
Linux-PAM version 0.99.7.0.
Résumé
Une vulnérabilité dans Linux-PAM permet à un utilisateur local de contourner la politique de sécurité du système vulnérable.
Description
Linux-PAM (Pluggable Authentication Modules for Linux) comporte une vulnérabilité dans la fonction _unix_verify_password(). Celle-ci permet à un utilisateur local d'acquérir un accès à la machine si le condensé (hash) de son mot de passe dans le fichier /etc/shadow ou /etc/passwd est construit de façon particulière.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Note de mise à jour de Linux-PAM version 0.99.7.1 : http://www.redhat.com/archives/pam-list/2007-january/msg00017.html
- Référence CVE CVE-2007-0003 https://www.cve.org/CVERecord?id=CVE-2007-0003