Vulnérabilité dans OpenPAM

Gestion du document

Référence	CERTA-2011-AVI-706-001
Titre	Vulnérabilité dans OpenPAM
Date de la première version	19 décembre 2011
Date de la dernière version	26 décembre 2011
Source(s)	Avis de sécurité NetBSD NetBSD-SA2011-008 du 15 decembre 2011
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Élévation de privilèges.

Systèmes affectés

NetBSD-current de sources antérieures au 09 novembre 2011 ;
NetBSD 4.0, 5.0 et 5.1 de sources antérieures au 09 novembre 2011 ;
Correctif de sécurité NetBSD OpenPAM antérieur au 13 decembre 2011.

Résumé

Une vulnérabilité permettant une élévation de privilèges sur OpenPAM a été corrigée.

Description

Une vulnérabilité dans OpenPAM permettant d'effectuer une élévation de privilèges a été corrigée. Un manque de validation sur le paramètre service fourni par l'utilisateur dans la configuration d'OpenPAM est à l'origine de cette vulnérabilité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Le problème est corrigé à partir des sources postérieures au 09 novembre 2011.

Documentation

Avis de sécurité NetBSD NetBSD-SA2011-008 du 15 decembre 2011 :

http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2011-008.txt.asc

Avis de sécurité FreeBSD FreeBSD-SA-11:10 du 23 décembre 2011 :
```
http://security.freebsd.org/advisories/FreeBSD-SA-11:10.pam.asc
```

Référence CVE CVE-2011-4122 :

https://www.cve.org/CVERecord?id=CVE-2011-4122

Gestion détaillée du document

le 19 décembre 2011: version initiale.

le 26 décembre 2011: ajout des correctifs FreeBSD.

Avis du CERT-FR

Objet: Vulnérabilité dans OpenPAM