GLSA 200411-09: shadow: Unauthorized modification of account information

Опасность:	низкая
Заголовок:	shadow: Unauthorized modification of account information
Дата:	04.11.2004
Ошибки:	#69212
ID:	200411-09

Сводка

A flaw in the chfn and chsh utilities might allow modification of account properties by unauthorized users.

Назначение

shadow provides a set of utilities to deal with user accounts.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
sys-apps/shadow	< 4.0.5-r1	>= 4.0.5-r1	All supported architectures

Описание

Martin Schulze reported a flaw in the passwd_check() function in "libmisc/pwdcheck.c" which is used by chfn and chsh.

Воздействие

A logged-in local user with an expired password may be able to use chfn and chsh to change his standard shell or GECOS information (full name, phone number...) without being required to change his password.

Обход

There is no known workaround at this time.

Решение

All shadow users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=sys-apps/shadow-4.0.5-r1"

Ссылки

• shadow NEWS file
• CAN-2004-1001

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200411-09.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.