1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2006-112 Mandriva libera actualización para Pam_ldap

Mandriva liberó una actualización en Pam_ldap la cual corrige una vulnerabilidad en su control de respuesta.

  • Fecha de Liberación: 9-Nov-2006
  • Ultima Revisión: 9-Nov-2006
  • Fuente: MDKSA-2006:201
  • CVE ID: CVE-2006-5170
  • Riesgo Alto
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Validación inapropiada

Sistemas Afectados

Mandriva 2006 pam_ldap < 183
Mandriva 2007 pam_ldap < 183
Mandriva Corporate Server 4.0 pam_ldap < 183

  1. Descripción

    Pam_ldap no retorna una condición de error cuando un servidor de directorios LDAP responde con un control de respuesta PasswordPolicyResponse lo que causa que la función pam_authenticate retorne un código de éxito si la autenticación ha fallado, como originalmente fue reportado por xscreensaver.

    Esto posiblemente permita a un atacante logearse con una cuenta suspendida en el sistema.

  2. Impacto

    Los usuarios que no cuenten con esta actualización tienen la posibilidad de sufrir un ataque y que sus equipos se vean comprometidos.

  3. Solución

    Los paquetes actualizados son los siguientes:

    Mandriva Linux 2006.0:

    88544f487e0884831e8dca48d9420eca 2006.0/i586/pam_ldap-

    180-2.1.20060mdk.i586.rpm

    2873ac0db22512131ad2f4a5d055e035 2006.0/SRPMS/pam_ldap-

    180-2.1.20060mdk.src.rpm

    Mandriva Linux 2006.0/X86_64:

    4cdb139a35c0b877fccb62b344292133 2006.0/x86_64/pam_ldap-

    180-2.1.20060mdk.x86_64.rpm

    2873ac0db22512131ad2f4a5d055e035 2006.0/SRPMS/pam_ldap-

    180-2.1.20060mdk.src.rpm

    Mandriva Linux 2007.0:

    338ecc4e0b69209b99f9ad317d6d2385 2007.0/i586/pam_ldap-

    180-4.1mdv2007.0.i586.rpm

    3a747dcc317e95fdc9011c1dfc4254ef 2007.0/SRPMS/pam_ldap-

    180-4.1mdv2007.0.src.rpm

    Mandriva Linux 2007.0/X86_64:

    079964ab75deaa3a8d723bc63c4e9be7 2007.0/x86_64/pam_ldap-

    180-4.1mdv2007.0.x86_64.rpm

    3a747dcc317e95fdc9011c1dfc4254ef 2007.0/SRPMS/pam_ldap-

    180-4.1mdv2007.0.src.rpm

    Corporate 4.0:

    8e800885b38df7d3b566cea4934cdb24 corporate/4.0/i586/pam_ldap-

    180-3.1.20060mlcs4.i586.rpm

    4abf9cd7b032153e407cf487968bc10a corporate/4.0/SRPMS/pam_ldap-

    180-3.1.20060mlcs4.src.rpm

    Corporate 4.0/X86_64:

    92a60cc8a2d16e7cb305a7665e39e696 corporate/4.0/x86_64/pam_ldap-

    180-3.1.20060mlcs4.x86_64.rpm

    4abf9cd7b032153e407cf487968bc10a corporate/4.0/SRPMS/pam_ldap-

    180-3.1.20060mlcs4.src.rpm

    Verifique los paquetes antes de actualizar para asegurarse de la integridad del paquete descargado, lo puede hacer con el siguiente comando:

    rpm --checksig package.rpm

  4. Referencias

    http://www.mandriva.com/security/advisories-name=MDKSA-2006:201

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • J. Roberto Sánchez Soledad (roberto dot sanchez at cert dot unam dot mx)
  • Jesús Mauricio Andrade Guzmán (mandrade at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT