Risques
- Contournement de la politique de sécurité
- Élévation de privilèges
Systèmes affectés
Linux PAM versions antérieures à 1.1.3.
Résumé
De multiples vulnérabilités ont été découvertes dans Linux PAM. Elles permettent à un utilisateur malveillant d'élever ses privilèges et de dévoiler des informations sensibles.
Description
Les vulnérabilités découvertes dans Linux PAM sont les suivantes :
- une erreur dans le module pam_mail permet de vérifier la présence de certains courriels ;
- une erreur dans le module pam_env permet à un utilisateur malveillant d'afficher un fichier arbitraire situé sur le système ;
- une erreur dans le module pam_namespace permet à un utilisateur malveillant d'élever ses privilèges.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité PAM du 28 octobre 2010 http://pam.cvs.sourceforge.net/viewvc/pam/Linux-PAM/ChangeLog?revision=1.546&view=markup&pathrev=Linux-PAM-1_1_3
- Référence CVE CVE-2010-3430 https://www.cve.org/CVERecord?id=CVE-2010-3430
- Référence CVE CVE-2010-3431 https://www.cve.org/CVERecord?id=CVE-2010-3431
- Référence CVE CVE-2010-3435 https://www.cve.org/CVERecord?id=CVE-2010-3435
- Référence CVE CVE-2010-3853 https://www.cve.org/CVERecord?id=CVE-2010-3853
