27. August 2003, 08:50 | #1 |
Registriert seit: June 2001
Ort: bei Bonn
Beiträge: 935
|
Sicherheitsloch in Linux-Authentifizierungsmodul
Im Pluggable Authentication Modul (PAM) pam_smb unter Linux wurde ein Fehler gefunden, mit dem durch die Übermittlung eines zu langen Passwortes ein Buffer Overflow provoziert werden kann. Ein Angreifer kann darüber beliebigen Code einschleusen und im Kontext des Prozesses ausführen, der den PAM-Service aufgerufen hat. Betroffen ist pam_smb bis einschließlich Version 1.1.6. Das Modul pam_smb ist standarmäßig nicht aktiviert. RedHat und Debian haben ihre Pakete bereits aktualisiert.
Pluggable Authentication Modules unter Linux/Unix vereinfachen die Benutzerverwaltung, indem sie Login-Verfahren fremder Systeme nutzen können. Das pam_smb-Modul beispielsweise erlaubt es, Anwender gegen einen SMB-Server zu authentifizieren. Der SMB-Server (Server Message Block) kann ein Samba-Server unter Linux oder ein Windows-NT/2000-Server sein. Quelle: Heise |