Debian-Sicherheitsankündigung

DSA-421-1 mod-auth-shadow -- Passwort-Verfalldatum

Datum des Berichts:

12. Jan 2004

Betroffene Pakete:

mod-auth-shadow

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 9404.
In Mitres CVE-Verzeichnis: CVE-2004-0041.

Weitere Informationen:

David B. Harris entdeckte ein Problem mit mod-auth-shadow, einem Apache-Modul, das Benutzer mit Hilfe der Shadow-Passwortdatenbank des Systems authentifiziert. Dabei wurden der Verfall von Zugang oder Passwort des Benutzers nicht beachtet. Diese Verwundbarkeit erlaubt es einem Benutzer, sich zu authentifizieren, auch wenn der Versuch eigentlich aufgrund der Verfallsdaten fehlschlagen sollte.

Für die aktuelle stable Distribution (Woody) wurde dieses Problem in Version 1.3-3.1woody.1 behoben.

Für die unstable Distribution (Sid) wurde dieses Problem in Version 1.4-1 behoben.

Wir empfehlen Ihnen, Ihr mod-auth-shadow-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/mod-auth-shadow_1.3-3.1woody.1.dsc; http://security.debian.org/pool/updates/main/m/mod-auth-shadow/mod-auth-shadow_1.3-3.1woody.1.diff.gz; http://security.debian.org/pool/updates/main/m/mod-auth-shadow/mod-auth-shadow_1.3.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.