S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 26 octobre 2011
N° CERTA-2011-AVI-592
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans Linux-PAM

Gestion du document

Référence CERTA-2011-AVI-592
Titre Vulnérabilités dans Linux-PAM
Date de la première version 26 octobre 2011
Date de la dernière version 26 octobre 2011
Source(s) Bulletin de sécurité Debian DSA 2326 du 24 octobre 2011
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service
  • Exécution de code arbitraire
  • Élévation de privilèges

Systèmes affectés

Linux-PAM 1.x.

Résumé

Des vulnérabilités dans Linux-PAM permettent à un utilisateur malveillant de provoquer un déni de service ou d'élever ses privilèges et d'exécuter du code arbitraire.

Description

La gestion par le module PAM (pluggable authentication module) des variables et des fichiers d'environnement présente des vulnérabilités. Elles permettent à un utilisateur malveillant de provoquer un déni de service par épuisement de ressources ou d'élever ses privilèges à la suite d'un débordement mémoire et d'exécuter du code avec les droits d'administration.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 26 octobre 2011
    version initiale.