UPDATE: DFN-CERT-2014-1607 PAM: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora][SuSE]

UPDATE: DFN-CERT-2014-1607 PAM: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (24.06.2016):
Für die SUSE Linux Enterprise Produkte Software Development Kit und
Server in der Version 11-SP4 stehen Sicherheitsupdates bereit.
Version 1 (08.12.2014):
Neues Advisory

Betroffene Software:

Red Hat Fedora 19
Red Hat Fedora 20

Betroffene Plattformen:

SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Server 11 SP4
Red Hat Fedora

Zwei Schwachstellen im Linux Pluggable Authentication Module (PAM), welches
dynamischen Authentifikations-Support für Anwendungen und Services in
Linux-Systemen bietet, ermöglichen einem entfernten, nicht authentifizierten
Angreifer das Umgehen von Sicherheitsvorkehrungen.

Patch:

Fedora Security Update FEDORA-2014-16350

https://admin.fedoraproject.org/updates/FEDORA-2014-16350/pam-1.1.8-2.fc20

Patch:

Fedora Security Update FEDORA-2014-16485

https://admin.fedoraproject.org/updates/FEDORA-2014-16485/pam-1.1.6-13.fc19

Patch:

SUSE Security Update SUSE-SU-2016:1645-1

http://lists.suse.com/pipermail/sle-security-updates/2016-June/002134.html

CVE-2013-7041: Schwachstelle in crypt() ermöglicht das Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in crypt() in dem PAM-Modul pam_userdb führt dazu, dass
der Passwort-Hash ohne Berücksichtigung der Groß- und Klein-Schreibung
gespeichert wird. Ein entfernter, nicht authentifizierter Angreifer kann
dadurch ein Passwort mit weniger Aufwand erraten.

CVE-2014-2583: Schwachstelle in Linux-PAM ermöglicht Umgehen von
Sicherheitsvorkehrungen

Es existieren mehrere “Directory-Traversal”-Schwachstellen in
“pam_timestamp.c” im “pam_timestamp”-Modul für Linux-PAM. Durch den
“PAM_RUSER”-Wert in der “get_ruser”-Funktion oder durch den “PAM_TTY”-Wert
der “check_tty”-Funktion, die von der “format_timestamp_name”-Funktion
verwendet wird, können die Schwachstellen ausgenutzt werden. Ein entfernter,
nicht authentifizierter Angreifer kann beliebige Dateien erstellen oder die
Authentifizierung umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1607/

Schwachstelle CVE-2014-2583 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2583

Fedora Security Update FEDORA-2014-16350:
https://admin.fedoraproject.org/updates/FEDORA-2014-16350/pam-1.1.8-2.fc20

Fedora Security Update FEDORA-2014-16485:
https://admin.fedoraproject.org/updates/FEDORA-2014-16485/pam-1.1.6-13.fc19

Schwachstelle CVE-2013-7041 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-7041

SUSE Security Update SUSE-SU-2016:1645-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-June/002134.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben