L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

alerte de vulnérabilité CVE-2009-0887

libpam : gestion incorrecte des logins UTF-8

Synthèse de la vulnérabilité

La bibliothèque libpam ne gère pas correctement les caractères Unicode situés dans les noms d'utilisateurs.
Produits impactés : Fedora, Mandriva Linux, Mandriva NF, Unix (plateforme) ~ non exhaustif.
Gravité de ce bulletin : 1/4.
Conséquences d'un piratage : accès/droits utilisateur.
Origine du hacker : compte utilisateur.
Date création : 05/03/2009.
Références de cette menace : BID-34010, CVE-2009-0887, FEDORA-2009-3204, FEDORA-2009-3231, MDVSA-2009:077, VIGILANCE-VUL-8511.

Description de la vulnérabilité

La bibliothèque libpam gère les modules d'authentification PAM.

Les fichiers de configuration PAM peuvent contenir des noms d'utilisateurs, qui ont été définis par l'administrateur.

La fonction _pam_StrTok() du fichier pam_misc.c est utilisée pour lire ces noms d'utilisateurs. Cependant, cette fonction ne gère pas correctement les caractères ayant une valeur supérieure à 127, utilisés par UTF-8. Le nom d'utilisateur réel (par exemple: "abc") est alors différent du nom configuré (par exemple: "abc[UTF-8]def").

Un attaquant peut donc contourner des mécanismes d'authentification en employant le nom d'utilisateur différent.
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une contre-mesure de vulnérabilité de logiciel. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.