GLSA 200501-21: HylaFAX: hfaxd unauthorized login vulnerability
| Опасность: | средняя |
| Заголовок: | HylaFAX: hfaxd unauthorized login vulnerability |
| Дата: | 11.01.2005 |
| Ошибки: | |
| ID: | 200501-21 |
Сводка
HylaFAX is subject to a vulnerability in its username matching code, potentially allowing remote users to bypass access control lists.Назначение
HylaFAX is a software package for sending and receiving facsimile messages.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| net-misc/hylafax | < 4.2.0-r2 | >= 4.2.0-r2 | All supported architectures |
Описание
The code used by hfaxd to match a given username and hostname with an entry in the hosts.hfaxd file is insufficiently protected against malicious entries.
Воздействие
If the HylaFAX installation uses a weak hosts.hfaxd file, a remote attacker could authenticate using a malicious username or hostname and bypass the intended access restrictions.
Обход
As a workaround, administrators may consider adding passwords to all entries in the hosts.hfaxd file.
Решение
All HylaFAX users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=net-misc/hylafax-4.2.0-r2"
Note: Due to heightened security, weak entries in the hosts.hfaxd file may no longer work. Please see the HylaFAX documentation for details of accepted syntax in the hosts.hfaxd file.
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.