{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Toutes les versions de <TT>pam-pgsql port</TT> sur FreeBSD  ant\u00e9rieures \u00e0 la version 0.5.2 sur FreeBSD.</P>  <P>L'usage de <TT>pam-pgsql</TT> peut \u00eatre associ\u00e9 aux outils  <TT>login</TT> et <TT>sshd</TT>.</P>","content":"## Description\n\nPAM (Pluggable Authentification Modules) est un syst\u00e8me\nd'authentification utilis\u00e9 sur les syst\u00e8mes Unix. Ce syst\u00e8me modulaire\npermet de d\u00e9velopper des applications comme login qui n\u00e9cessitent une\nauthentification sans avoir \u00e0 se pr\u00e9occuper du m\u00e9canisme\nd'authentification qui sera mis en \u0153uvre.\n\nUn des modules d'authentification, pam-pgsql repose sur une base de\ndonn\u00e9es PostgresSQL.\n\nLes versions vuln\u00e9rables de pam-pgsql permettent \u00e0 un utilisateur local\nou distant, pouvant mettre en \u0153uvre l'authentification pam-pgsql, de\npouvoir soumettre n'importe quelle requ\u00eate SQL \u00e0 la base de donn\u00e9es\ncontenant les noms et mots de passe.\n\nLes versions ant\u00e9rieures \u00e0 0.3, permettent de surcro\u00eet \u00e0 un utilisateur\nde contourner le m\u00e9canisme de v\u00e9rification des mots de passe.\n\n## Contournement provisoire\n\nD\u00e9sinstaller pam-pgsql si on ne s'en sert pas.\n\n## Solution\n\nCharger un nouveau squelette du portage de pam-pgsql sur\n\n    http://www.freebsd.org/ports\n\n, utilisez pour reconstruire le portage sur FreeBSD.\n","cves":[],"links":[],"reference":"CERTA-2002-AVI-055","revisions":[{"description":"version initiale.","revision_date":"2002-03-19T00:00:00.000000"}],"risks":[{"description":"Manipulation d'une base de donn\u00e9es contenants des noms et des mots de passe"}],"summary":"Une vuln\u00e9rabilit\u00e9 dans un module d'authentification peut contribuer \u00e0\ncontourner les mots de passe.\n","title":"Contournement de l'autentification pam-pgsql","vendor_advisories":[{"published_at":null,"title":"Avis RUS-CERT","url":"ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:14.pam-pgsql.asc"},{"published_at":null,"title":"Avis FreeBSD-SA-02:14","url":"ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:14.pam-pgsql.asc"}]}