Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2326-1 pam

Debians sikkerhedsbulletin

DSA-2326-1 pam -- flere sårbarheder

Rapporteret den:

24. okt 2011

Berørte pakker:

pam

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2011-3148, CVE-2011-3149.

Yderligere oplysninger:

Kees Cook fra ChromeOS Security Team opdagede et bufferoverløb i pam_env, et PAM-modul til opsætning af miljøvariable gennem PAM-stakken, hvilket gjorde det muligt at udføre vilkårlig kode. Et yderligere problem, i fortolkningen af parametre, muliggjorde lammelsesangreb (denial of service).

Den gamle stabile distribution (lenny) er ikke påvirket.

I den stabile distribution (squeeze), er dette problem rettet i version 1.1.1-6.1+squeeze1.

I den ustabile distribution (sid), vil dette problem snart blive rettet (påvirkningen i sid er begrænset til lammelsesangreb hvad angår begge problemer).

Vi anbefaler at du opgraderer dine pam-pakker.