Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-425

[Generic/PAM, NSS] Schwachstelle in PostgreSQL-PAM/NSS-Modulen
(2001-09-10 15:23:37+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/advisories/postgresql_pam_nss.php

Bei den Nachforschungen zum RUS-CERT-Advisory 2001-08:01 wurde festgestellt, daß auch einige PAM- und NSS-Module, die PostgreSQL als Datenbank verwenden, im Grunde dasselbe Problem aufweisen.

Betroffene Systeme
Systeme, die folgende Software-Module verwenden:

  • libnss-pgsql 0.9.0 von Jörg Wendland
  • nss_postgresql 0.6.1 von Alessandro Gardich
  • pam-pgsql 0.9.2 von Jörg Wendland
  • pam_pgsql 0.0.3 von Alessandro Gardich
  • pam-pgsql 0.5.1 von Leon J Breedt

Einfallstor
Bei den PAM-Modulen: eine Möglichkeit, einen Login-Versuch starten (z.B. über Telnet oder SSH). Bei den NSS-Modulen: eine Möglichkeit, NSS-Datenbank-Abfragen zu stellen. Dazu ist häufig ein lokales Benutzerkonto erforderlich.

Auswirkung
Möglicherweise können Datenbanktabellen verändert werden oder unauthorisierte Zugriffe auf das System vorgenommen werden (insbesondere bei der Schwachstelle in den PAM-Modulen).

Typ der Verwundbarkeit
SQL injection bug

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die eingangs erwähnten Module sind gegenüber Angriffen verwundbar, die im RUS-CERT-Advisory 2001-08:01 beschrieben wurden (deutsche Zusammenfassung). Im Falle der PAM-Module ist zu befürchten, daß Eingreifer über das Netz unauthorisierten Zugang zum System erlangen können. Im NSS-Fall können böswillige lokale Benutzer möglicherweise das System veranlassen, ihnen mehr Rechte zu gewähren, als ihnen eigentlich zustehen.

Gegenmaßnahmen
Jörg Wendland stellt korrigierte Versionen seiner Module bereit:

Weitere Information zu diesem Thema

(fw)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.