Avis du CERT-FR

Objet: Vulnérabilité dans Linux-PAM

Gestion du document

Référence	CERTA-2007-AVI-049
Titre	Vulnérabilité dans Linux-PAM
Date de la première version	24 janvier 2007
Date de la dernière version	24 janvier 2007
Source(s)	Note de mise à jour de la version 0.99.7.1 de Linux-PAM
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité.

Systèmes affectés

Linux-PAM version 0.99.7.0.

Résumé

Une vulnérabilité dans Linux-PAM permet à un utilisateur local de contourner la politique de sécurité du système vulnérable.

Description

Linux-PAM (Pluggable Authentication Modules for Linux) comporte une vulnérabilité dans la fonction _unix_verify_password(). Celle-ci permet à un utilisateur local d'acquérir un accès à la machine si le condensé (hash) de son mot de passe dans le fichier /etc/shadow ou /etc/passwd est construit de façon particulière.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Note de mise à jour de Linux-PAM version 0.99.7.1 :

http://www.redhat.com/archives/pam-list/2007-january/msg00017.html

Référence CVE CVE-2007-0003 :

https://www.cve.org/CVERecord?id=CVE-2007-0003

Gestion détaillée du document

le 24 janvier 2007: version initiale.