Bug 20194 - CVE-2009-1384: Password prompt varies for existent and non-existent
Summary: CVE-2009-1384: Password prompt varies for existent and non-existent
Status: CLOSED NOTABUG
Alias: None
Product: Sisyphus
Classification: Development
Component: pam_krb5 (show other bugs)
Version: unstable
Hardware: all Linux
: P3 minor
Assignee: Evgeny Sinelnikov
QA Contact: qa-sisyphus
URL: https://bugzilla.redhat.com/show_bug....
Keywords: security
Depends on:
Blocks:
 
Reported: 2009-05-27 14:33 MSD by Vladimir Lettiev
Modified: 2009-05-30 10:59 MSD (History)
1 user (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Vladimir Lettiev 2009-05-27 14:33:48 MSD
В модуле PAM pam_krb5 обнаружена проблема безопасности, позволяющая удалённому атакующему определить по сообщению об ошибке, существует ли в системе пользователь с данным именем и осуществить атаку с перебором паролей по словарю.
Уязвимы все версии pam_krb5 >= 2.2.14
Информация о наличии исправления пока отсутствует.
Comment 1 Evgeny Sinelnikov 2009-05-27 15:13:36 MSD
Есть три основных ветки pam_krb5:
1) Старая:
 http://sourceforge.net/projects/pam-krb5/
2) От Федоры:
 https://fedorahosted.org/pam_krb5/
3) От Дебиана:
 http://www.eyrie.org/~eagle/software/pam-krb5/

Наша, с недавних пор основана на дебиановкий ветке, ибо федорина глюкалово ещё то... Поскольку кодовая база у них совсем разная, баги друг к другу у них не подходят...

Тем не менее вопрос с pam_krb5 в бранчах нужно решать.. Дело в том, что в новом pam_krb5 появились некоторые особенности, которые пока изучаю.

Тупо обновлять в бранчах очень старый релиз pam_krb5 взятый до меня ещё ищё из пятой федоры, до последнего из той же федоры я бы не стал... Там куча регрессий, вообще не понимаю как они его используют... Видимо, только в общих случаях...

Я давно планирую обновить pam_krb5 в бранчах так что пожелания и желающие потестировать приветствуются...
Comment 2 Evgeny Sinelnikov 2009-05-27 15:21:06 MSD
Да, кстати, нашим бранчам также повезло, как и RH:
https://bugzilla.redhat.com/show_bug.cgi?id=502602#c4
У нас pam_krb5-2.2.9-alt1.i586.rpm так что беспокоится вообще не о чем...
Comment 3 Vladimir Lettiev 2009-05-30 10:59:56 MSD
ок. спасибо за разъяснение.
почему-то на SF (http://www.securityfocus.com/bid/35112) сослались именно на pam-krb5 Russ Allbery.