Miembros de
Boletines de Vulnerabilidades |
Obtención de contraseña en Ldapscripts |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Principiante |
| Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado |
Ldapscripts 1.4 Ldapscripts 1.7 |
Descripción |
|
|
Se ha encontrado una vulnerabilidad en Ldapscripts 1.4 y 1.7. La vulnerabilidad reside en un error en la llamada "ldappasswd" en la función "_changepassword()" que envía la contraseña como argumento de la línea de comandos al llamar una aplicación LDAP. Un atacante local podría leer la contraseña mediante el comando "ps" para listar los procesos y sus argumentos. |
|
Solución |
|
|
Actualización de software Debian (DSA-1517-1) Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/l/ldapscripts/ldapscripts_1.4.orig.tar.gz http://security.debian.org/pool/updates/main/l/ldapscripts/ldapscripts_1.4-2etch1.diff.gz http://security.debian.org/pool/updates/main/l/ldapscripts/ldapscripts_1.4-2etch1.dsc Arquitectura independiente http://security.debian.org/pool/updates/main/l/ldapscripts/ldapscripts_1.4-2etch1_all.deb |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CVE-2007-5373 |
| BID | 25982 |
Recursos adicionales |
|
|
Debian Security Advisory (DSA-1517-1) http://lists.debian.org/debian-security-announce/2008/msg00082.html |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2008-03-19 |