情報源
DOE-CIRC Technical Bulletin T-089
pam-krb5 Local Privilege Escalation Vulnerability
http://www.doecirc.energy.gov/ciac/bulletins/t-089.shtml
概要
Pluggable Authentication Modules (PAM) の実装である pam-krb5 に
は、脆弱性があります。結果として、ローカルユーザが権限を昇格する
可能性があります。
対象となるバージョンは以下の通りです。
- pam-krb5 3.13 より前のバージョン
なお、Solaris や Debian などの PAM モジュールを利用する他の製品
も影響を受ける可能性があります。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。詳細につい
ては、各ベンダや配布元が提供する情報を参照してください。
関連文書 (日本語)
Debian セキュリティ勧告 DSA-1721-1
libpam-krb5 -- 複数の脆弱性
http://www.debian.org/security/2009/dsa-1721.ja.html
Debian セキュリティ勧告 DSA-1722-1
libpam-heimdal -- プログラムミス
http://www.debian.org/security/2009/dsa-1722.ja.html
関連文書 (英語)
Russ Allbery
pam-krb5 2009-02-11 Advisory
http://www.eyrie.org/~eagle/software/pam-krb5/security/2009-02-11.html
Sun Alert 252767
A Security Vulnerability in the Solaris Kerberos PAM Module May Allow Use of a User Specified Kerberos Configuration File, Leading to Escalation of Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-66-252767-1
