20194 2009-05-27 14:33:48 +0400 CVE-2009-1384: Password prompt varies for existent and non-existent 2009-05-30 10:59:56 +0400 1 1 4 Development Sisyphus pam_krb5 unstable all Linux CLOSED NOTABUG https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2009-1384 security P3 minor --- 1 crux sin sin qa-sisyphus oldest_to_newest 91917 0 crux 2009-05-27 14:33:48 +0400 В модуле PAM pam_krb5 обнаружена проблема безопасности, позволяющая удалённому атакующему определить по сообщению об ошибке, существует ли в системе пользователь с данным именем и осуществить атаку с перебором паролей по словарю. Уязвимы все версии pam_krb5 >= 2.2.14 Информация о наличии исправления пока отсутствует. 91920 1 sin 2009-05-27 15:13:36 +0400 Есть три основных ветки pam_krb5: 1) Старая: http://sourceforge.net/projects/pam-krb5/ 2) От Федоры: https://fedorahosted.org/pam_krb5/ 3) От Дебиана: http://www.eyrie.org/~eagle/software/pam-krb5/ Наша, с недавних пор основана на дебиановкий ветке, ибо федорина глюкалово ещё то... Поскольку кодовая база у них совсем разная, баги друг к другу у них не подходят... Тем не менее вопрос с pam_krb5 в бранчах нужно решать.. Дело в том, что в новом pam_krb5 появились некоторые особенности, которые пока изучаю. Тупо обновлять в бранчах очень старый релиз pam_krb5 взятый до меня ещё ищё из пятой федоры, до последнего из той же федоры я бы не стал... Там куча регрессий, вообще не понимаю как они его используют... Видимо, только в общих случаях... Я давно планирую обновить pam_krb5 в бранчах так что пожелания и желающие потестировать приветствуются... 91923 2 sin 2009-05-27 15:21:06 +0400 Да, кстати, нашим бранчам также повезло, как и RH: https://bugzilla.redhat.com/show_bug.cgi?id=502602#c4 У нас pam_krb5-2.2.9-alt1.i586.rpm так что беспокоится вообще не о чем... 92103 3 crux 2009-05-30 10:59:56 +0400 ок. спасибо за разъяснение. почему-то на SF (http://www.securityfocus.com/bid/35112) сослались именно на pam-krb5 Russ Allbery.