[Fedora] Schwachstelle in sssd – FEDORA-2010-13474

[Fedora] Schwachstelle in sssd - FEDORA-2010-13474

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-2940 – Schwachstelle im Security Services Daemon

Die Funktion ‘auth_send’ im Modul providers/ldap/ldap_auth.c im
Security Services Daemon erlaubt die in pam_authenticate definierten
Authentifizierungs-Erfordernisse zu umgehen, wenn die
LDAP-Authentifizierung in Verbindung mit Anonymous Binds aktiviert ist.
Dies ermoeglicht einem Angreifer im schlimmsten Fall, einen
privilegierten Zugang zu einem System zu erhalten.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket sssd

Fedora 14

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —

Michael Groening (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-13474
2010-08-25 01:14:13
– ——————————————————————————–

Name : sssd
Product : Fedora 14
Version : 1.3.0
Release : 30.fc14
URL : http://fedorahosted.org/sssd/
Summary : System Security Services Daemon
Description :
Provides a set of daemons to manage access to remote directories and
authentication mechanisms. It provides an NSS and PAM interface toward
the system and a pluggable backend system to connect to multiple different
account sources. It is also the basis to provide client auditing and policy
services for projects like FreeIPA.

– ——————————————————————————–
Update Information:

* CVE-2010-2940 – SSSD allows null password entry to authenticate against LDAP
– ——————————————————————————–
References:

[ 1 ] Bug #625189 – CVE-2010-2940 sssd: allows null password entry to authenticate against LDAP
https://bugzilla.redhat.com/show_bug.cgi?id=625189
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update sssd’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iEYEARECAAYFAkx/odQACgkQWmhIvjFb90XUnQCfUuqJPcWs9amtB4Kwq9gI4Sta
WGUAn01Y+BKLTDd6DuWPYXv6JkwiT7P0
=GLRz
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben