Vulnerability Bulletins |
Obtención de contraseña en Ldapscripts |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Principiante |
| Required attacker level | Acceso remoto con cuenta |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software |
Ldapscripts 1.4 Ldapscripts 1.7 |
Description |
|
|
Se ha encontrado una vulnerabilidad en Ldapscripts 1.4 y 1.7. La vulnerabilidad reside en un error en la llamada "ldappasswd" en la función "_changepassword()" que envía la contraseña como argumento de la línea de comandos al llamar una aplicación LDAP. Un atacante local podría leer la contraseña mediante el comando "ps" para listar los procesos y sus argumentos. |
|
Solution |
|
|
Actualización de software Debian (DSA-1517-1) Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/l/ldapscripts/ldapscripts_1.4.orig.tar.gz http://security.debian.org/pool/updates/main/l/ldapscripts/ldapscripts_1.4-2etch1.diff.gz http://security.debian.org/pool/updates/main/l/ldapscripts/ldapscripts_1.4-2etch1.dsc Arquitectura independiente http://security.debian.org/pool/updates/main/l/ldapscripts/ldapscripts_1.4-2etch1_all.deb |
|
Standar resources |
|
| Property | Value |
| CVE | CVE-2007-5373 |
| BID | 25982 |
Other resources |
|
|
Debian Security Advisory (DSA-1517-1) http://lists.debian.org/debian-security-announce/2008/msg00082.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2008-03-19 |