Vulnerabilidad de Seguridad/UNAM−CERT UNAM−CERT

Anuncio
UNAM−CERT
Vulnerabilidad de Seguridad/UNAM−CERT
UNAM−CERT
Departamento de Seguridad en Cómputo
DGSCA−UNAM
Vulnerabilidad de Seguridad UNAM−CERT−2006−112
Mandriva libera actualización para Pam_ldap
Mandriva liberó actualización en Pam_ldap la cual corrige una vulnerabilidad en su
control de respuesta.
Fecha de Liberación: 9 de Noviembre de 2006
Ultima Revisión:
9 de Noviembre de 2006
Fuente:
MDKSA−2006:201
CVE ID:
CVE−2006−5170
Sistemas Afectados
Mandriva 2006
Mandriva 2007
Mandriva Corporate
Server 4.0
pam_ldap
pam_ldap
pam_ldap
<183
<183
<183
Riesgo
Alto
Problema de Vulnerabilidad
Remoto
Tipo de Vulnerabilidad
Validación inapropiada
I. Descripción
Pam_ldap no retorna una condición de error cuando un servidor de directorios
LDAP responde con un control de respuesta PasswordPolicyResponse lo que
causa que la función pam_authenticate retorne un código de éxito si la
autenticación ha fallado, como originalmente fue reportado por xscreensaver.
Descripción
1
UNAM−CERT
Esto posiblemente permita a un atacante logearse con una cuenta suspendida en
el sistema.
II. Impacto
Los usuarios que no cuenten con esta actualización tienen la posibilidad de
sufrir un ataque y que sus equipos se vean comprometidos.
III. Solución
Los paquetes actualizados son los siguientes:
Mandriva Linux 2006.0:
88544f487e0884831e8dca48d9420eca 2006.0/i586/pam_ldap−
180−2.1.20060mdk.i586.rpm
2873ac0db22512131ad2f4a5d055e035 2006.0/SRPMS/pam_ldap−
180−2.1.20060mdk.src.rpm
Mandriva Linux 2006.0/X86_64:
4cdb139a35c0b877fccb62b344292133 2006.0/x86_64/pam_ldap−
180−2.1.20060mdk.x86_64.rpm
2873ac0db22512131ad2f4a5d055e035 2006.0/SRPMS/pam_ldap−
180−2.1.20060mdk.src.rpm
Mandriva Linux 2007.0:
338ecc4e0b69209b99f9ad317d6d2385 2007.0/i586/pam_ldap−
180−4.1mdv2007.0.i586.rpm
3a747dcc317e95fdc9011c1dfc4254ef 2007.0/SRPMS/pam_ldap−
180−4.1mdv2007.0.src.rpm
Mandriva Linux 2007.0/X86_64:
079964ab75deaa3a8d723bc63c4e9be7 2007.0/x86_64/pam_ldap−
180−4.1mdv2007.0.x86_64.rpm
3a747dcc317e95fdc9011c1dfc4254ef 2007.0/SRPMS/pam_ldap−
180−4.1mdv2007.0.src.rpm
Corporate 4.0:
Impacto
2
UNAM−CERT
8e800885b38df7d3b566cea4934cdb24 corporate/4.0/i586/pam_ldap−
180−3.1.20060mlcs4.i586.rpm
4abf9cd7b032153e407cf487968bc10a corporate/4.0/SRPMS/pam_ldap−
180−3.1.20060mlcs4.src.rpm
Corporate 4.0/X86_64:
92a60cc8a2d16e7cb305a7665e39e696 corporate/4.0/x86_64/pam_ldap−
180−3.1.20060mlcs4.x86_64.rpm
4abf9cd7b032153e407cf487968bc10a corporate/4.0/SRPMS/pam_ldap−
180−3.1.20060mlcs4.src.rpm
Verifique los paquetes antes de actualizar para asegurarse de la integridad del
paquete descargado, lo puede hacer con el siguiente comando:
rpm −−checksig package.rpm
IV. Referencias
http://www.mandriva.com/security/advisories?name=MDKSA−2006:201
El Departamento de Seguridad en Cómputo/UNAM−CERT agradece el apoyo en la
traducción, elaboración y revisión de éste Documento a:
• Jesús Mauricio Andrade Guzmán (mandrade at seguridad dot unam dot mx)
• Roberto Sanchez Soledad (rsanchez at seguridad dot unam dot mx)
UNAM−CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Cómputo
E−Mail: seguridad@seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 43
Referencias
3
Descargar