 |
28.02.2009 21:27 |
| |
Множественные уязвимости в pam-krb5 |
 |
28 февраля, 2009
Программа: pam-krb5 версии до 3.13
Опасность: Низкая
Наличие эксплоита: Нет
Описание:
Обнаруженные уязвимости позволяют локальному пользователю произвести неавторизованное изменение данных и повысить свои привилегии на системе.
1.Уязвимость существует из-за того, что pam-krb5 использует некорректные API для инициализации библиотек Kerberos в контексте setuid приложения. Локальный пользователь может с помощью специально сформированных переменных окружения указать конфигурацию Kerberos и обойти проверку аутентификации в setuid приложениях, которые используют PAM для аутентификации.
2.Уязвимость существует из-за ошибки в pam_setcred при вызове setuid приложением с PAM_REINITIALIZE_CREDS или PAM_REFRESH_CREDS, если предварительно не был осуществлен вызов к PAM_ESTABLISH_CREDS или не были спрошены привилегии (например, su в Solaris 10). Локальный пользователь может через переменную окружения KRB5CCNAME указать файл, перезаписать его и изменить владельца файла.
URL производителя: www.eyrie.org/eagle/software/pam-krb5/
Решение: Установите последнюю версию 3.13 с сайта производителя.
URL адреса: http://www.eyrie.org/eagle/software/pam-krb5/security/2009-02-11.html
CVE: CVE-2009-0360CVE-2009-0361
|
|
|
Навигация по порталу: 
