Vulnérabilité dans OpenPAM

Gestion du document

Référence	CERTA-2011-AVI-706
Titre	Vulnérabilité dans OpenPAM
Date de la première version	19 décembre 2011
Date de la dernière version	26 décembre 2011
Source(s)	Avis de sécurité NetBSD NetBSD-SA2011-008 du 15 decembre 2011
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Élévation de privilèges

Systèmes affectés

Correctif de sécurité NetBSD OpenPAM antérieur au 13 decembre 2011.
NetBSD 4.0, 5.0 et 5.1 de sources antérieures au 09 novembre 2011 ;
NetBSD-current de sources antérieures au 09 novembre 2011 ;

Résumé

Une vulnérabilité permettant une élévation de privilèges sur OpenPAM a été corrigée.

Description

Une vulnérabilité dans OpenPAM permettant d'effectuer une élévation de privilèges a été corrigée. Un manque de validation sur le paramètre service fourni par l'utilisateur dans la configuration d'OpenPAM est à l'origine de cette vulnérabilité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Le problème est corrigé à partir des sources postérieures au 09 novembre 2011.

Documentation

Avis de sécurité FreeBSD FreeBSD-SA-11:10 du 23 décembre 2011 :

http://security.freebsd.org/advisories/FreeBSD-SA-11:10.pam.asc

Avis de sécurité NetBSD NetBSD-SA2011-008 du 15 decembre 2011 :

http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2011-008.txt.asc

Référence CVE CVE-2011-4122

https://www.cve.org/CVERecord?id=CVE-2011-4122

Avis du CERT-FR

Objet: Vulnérabilité dans OpenPAM