Debian セキュリティ勧告
DSA-2326-1 pam -- 複数の脆弱性
- 報告日時:
- 2011-10-24
- 影響を受けるパッケージ:
- pam
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2011-3148, CVE-2011-3149.
- 詳細:
-
ChromeOS security team の Kees Cook さんにより、PAM スタック経由で環 境変数をセットする PAM モジュールの pam_env に、任意のコードの実行に 繋がるバッファオーバフローが発見されました。更に、引数の処理に問題が あり、サービス拒否攻撃が可能です。
旧安定版 (lenny) にはこれらの問題の影響はありません。
安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 1.1.1-6.1+squeeze1 で修正されています。
不安定版 (unstable) ディストリビューション (sid) ではこの問題は近く修 正予定です。sid でのサービス拒否攻撃を許す問題は、何れの場合も限られ た状況のみです。
直ぐに pam パッケージをアップグレードすることを勧めます。