GNU Coreutils pam_succeed_if PAM模块本地绕过认证漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1186164 漏洞类型 权限许可和访问控制
发布时间 2008-07-24 更新时间 2008-08-29
CVE编号 CVE-2008-1946 CNNVD-ID CNNVD-200807-427
漏洞平台 N/A CVSS评分 4.4
|漏洞来源
https://www.securityfocus.com/bid/30363
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200807-427
|漏洞详情
GNU核心工具(Coreutils)是GNU操作系统所使用的基本文件、shell和文本操控工具。Coreutils软件包没有对su命令正确地使用配置文件中的pam_succeed_if可插拔认证模块(PAM),如果运行su的用户知道目标帐号的口令的话,任何本地用户都可以使用这个命令更改锁定的或过期的用户帐号。
|受影响的产品
Redhat Enterprise Linux WS 4 Redhat Enterprise Linux ES 4 Redhat Enterprise Linux AS 4 Redhat Enterprise Linux Desktop version 4 GNU Coreutils 5.2.1 GNU Coreutils 5.2
|参考资料

来源:XF
名称:coreutils-pamsucceedif-security-bypass(43993)
链接:http://xforce.iss.net/xforce/xfdb/43993
来源:BID
名称:30363
链接:http://www.securityfocus.com/bid/30363
来源:SECTRACK
名称:1020552
链接:http://securitytracker.com/id?1020552
来源:SECUNIA
名称:31225
链接:http://secunia.com/advisories/31225
来源:REDHAT
名称:RHSA-2008:0780
链接:http://rhn.redhat.com/errata/RHSA-2008-0780.html