Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2326-1 pam

Bulletin d'alerte Debian

DSA-2326-1 pam -- Plusieurs vulnérabilités

Date du rapport :

24 octobre 2011

Paquets concernés :

pam

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-3148, CVE-2011-3149.

Plus de précisions :

Kees Cook de l'équipe de sécurité de ChromeOS a découvert un débordement de mémoire tampon dans pam_env, un module PAM pour définir les variables d'environnement par la pile PAM, ce qui permettait l'exécution de code arbitraire. Un problème supplémentaire dans l'analyse d'argument permet un déni de service.

La distribution oldstable (Lenny) n'est pas concernée.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.1.1-6.1+squeeze1.

Pour la distribution unstable (Sid), ce problème sera corrigé prochainement (l'impact dans Sid est limité au déni de service pour les deux problèmes).

Nous vous recommandons de mettre à jour vos paquets pam.