Рекомендация Debian по безопасности

DSA-421-1 mod-auth-shadow -- истечение срока действия пароля

Дата сообщения:

12.01.2004

Затронутые пакеты:

mod-auth-shadow

Уязвим:

Да

Ссылки на базы данных по безопасности:

В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 9404.
В каталоге Mitre CVE: CVE-2004-0041.

Более подробная информация:

Дэвид Б. Харрис (David B. Harris) обнаружил проблему в mod-auth-shadow, модуле Apache, производящем авторизацию пользователей по данным системной теневой базы данных паролей. При этом не проверялось, действителен ли пароль учётной записи или его срок действия истёк. Эта уязвимость может позволить пользователю пройти процедуру авторизации, хотя на самом деле пароль должен быть отвергнут в связи с истечением срока действия.

В текущем стабильном дистрибутиве (woody) эта проблема исправлена в версии 1.3-3.1woody.1

В нестабильном дистрибутиве (sid) эта проблема исправлена в версии 1.4-1.

Мы рекомендуем вам обновить пакет mod-auth-shadow.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/mod-auth-shadow_1.3-3.1woody.1.dsc; http://security.debian.org/pool/updates/main/m/mod-auth-shadow/mod-auth-shadow_1.3-3.1woody.1.diff.gz; http://security.debian.org/pool/updates/main/m/mod-auth-shadow/mod-auth-shadow_1.3.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/m/mod-auth-shadow/libapache-mod-auth-shadow_1.3-3.1woody.1_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.