Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
libpam-modules
(any)
Описание
Бюллетень USN-2935-1 закрывает уязвимости в PAM. Исправления содержали изменение, которое мешало обновлению в некоторых окружениях с несколькими архитектурами. Бюллетень USN-2935-2, устраняющий данную проблему, был не полностью реализован для Ubuntu 12.04 LTS. Данное обновление предназначено для устранения проблемы в Ubuntu 12.04 LTS.
Приносим свои извинения за доставленные неудобства.
Информация из оригинального бюллетеня:
Уязвимость в модуле pam_userdb, связанная с использованием метода без учета регистра при сравнении хэшированных паролей, облегчает злоумышленникам проведение атак методом подбора. Данная уязвимость существует только в Ubuntu 12.04 LTS и Ubuntu 14.04 LTS. (CVE-2013-7041) Уязвимость в модуле pam_timestamp, связанная с некорректной фильтрацией, позволяет локальным пользователям создать произвольные файлы или обойти механизм аутентификации. Данная уязвимость существует только в Ubuntu 12.04 LTS и Ubuntu 14.04 LTS. (CVE-2014-2583) Уязвимость в модуле pam_unix, связанная с некорректной обработкой длинных паролей, позволяет локальным пользователям перечислить имена пользователей или вызвать отказ в обслуживании. (CVE-2015-3238)
Приносим свои извинения за доставленные неудобства.
Информация из оригинального бюллетеня:
Уязвимость в модуле pam_userdb, связанная с использованием метода без учета регистра при сравнении хэшированных паролей, облегчает злоумышленникам проведение атак методом подбора. Данная уязвимость существует только в Ubuntu 12.04 LTS и Ubuntu 14.04 LTS. (CVE-2013-7041) Уязвимость в модуле pam_timestamp, связанная с некорректной фильтрацией, позволяет локальным пользователям создать произвольные файлы или обойти механизм аутентификации. Данная уязвимость существует только в Ubuntu 12.04 LTS и Ubuntu 14.04 LTS. (CVE-2014-2583) Уязвимость в модуле pam_unix, связанная с некорректной обработкой длинных паролей, позволяет локальным пользователям перечислить имена пользователей или вызвать отказ в обслуживании. (CVE-2015-3238)
Как исправить
Для устранения уязвимости необходимо установить следующие версии пакетов:
Ubuntu 12.04 LTS:
libpam-modules - 1.1.3-7ubuntu2.3
Ubuntu 12.04 LTS:
libpam-modules - 1.1.3-7ubuntu2.3