Avis du CERT-FR

Objet: Vulnérabilité de poppassd_pam

Gestion du document

Référence	CERTA-2005-AVI-013
Titre	Vulnérabilité de poppassd_pam
Date de la première version	13 janvier 2005
Date de la dernière version	13 janvier 2005
Source(s)	Bulletin de sécurité Gentoo GLSA-200501-22 du 11 janvier 2005
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Atteinte à la confidentialité des données ;
déni de service.

Systèmes affectés

poppassd_ceti 1.0 et versions antérieures ;
poppassd_pam 1.0 et vesions antérieures.

Description

poppassd_pam est une bibliothèque utilisée pour modifier les mots de passes des serveurs POP.

Une vulnérabilité découverte dans la bibliothèque poppassd_pam permet à utilisateur distant mal intentionné de changer le mot de passe de n'importe quel utilisateur du système vulnérable, y compris le mot de passe du compte root (administrateur). Cette vulnérabilité est causée par une mauvaise vérification de l'ancien mot de passe.

Solution

Se réferer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. Documentation).

Documentation

Bulletin de sécurité Gentoo GLSA-200501-22 du 11 janvier 2005 :
```
http://www.gentoo.org/security/en/glsa/glsa-200501-22.xml
```

Référence CVE CAN-2005-0002 :

https://www.cve.org/CVERecord?id=CAN-2005-0002

Gestion détaillée du document

le 13 janvier 2005: version initiale.