Säkerhetsinformation / 2011 / Säkerhetsinformation -- DSA-2326-1 pam

Säkerhetsbulletin från Debian

DSA-2326-1 pam -- flera sårbarheter

Rapporterat den:

2011-10-24

Berörda paket:

pam

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2011-3148, CVE-2011-3149.

Ytterligare information:

Kees Cook från ChromeOS säkerhetsgrupp upptäckte ett buffertspill i pam_env, en PAM-modul för att sätta miljövariabler genom PAM-stacken, vilket tillät körning av godtycklig kod. Ett ytterligare problem i argumenttolkning tillåter överbelastning.

Den gamla stabila utgåvan (Lenny) påverkas inte.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 1.1.1-6.1+squeeze1.

För den instabila utgåvan (Sid), kommer detta problem att rättas inom kort (påverkan i sid begränsas till överbelastning för båda problem).

Vi rekommenderar att ni uppgraderar era pam-paket.