SuSE 10 セキュリティ更新： glibc（ZYPP パッチ番号 7663）

medium Nessus プラグイン ID 58576

Language:

概要

リモート SuSE 10 ホストにセキュリティ関連のパッチがありません。

説明

Blowfish ベースのパスワードハッシングメソッドの実装に、8 ビット文字（例：ウムラウト記号）が含まれるパスワードに影響を与えるバグがありました。
影響を受けるパスワードは、ブルートフォースメソッドを介してより簡単に解読される可能性があります。（CVE-2011-2483）

SUSE の crypt() 実装は、Blowfish によるパスワードハッシュ化機能（id $2a）をサポートし、デフォルトではシステムのログインでもこの方法が使用されます。
この更新は、$2a 実装におけるバグを排除します。このため、更新のインストール後、パスワードに 8 ビット文字が含まれている場合、既存の $2a ハッシュは新しく適切な実装で生成されたハッシュと一致しなくなります。PAM を介したシステムログインでは、 pam_unix2 モジュールがコンパクトモードを起動し、既存の $2a ハッシュは引き続き古いアルゴリズムで処理されます。これにより、ユーザーがロックアウトされることはありません。
新しいパスワードハッシュは id「$2y」で作成されるため、適切な実装で生成されたものとして明確に識別できます。

注：新しいアルゴリズムにハッシュを実際に移行するために、全ユーザーは、更新後にパスワードを変更することが推奨されます。

Blowfish ハッシュを使用したパスワードの保存に、PAM ではなく crypt() を使用するサービスには、このようなコンパクトモードはありません。つまり、このようなサービスを使用する 8 ビットパスワードのユーザーは、更新後ログインできなくなります。回避策として、管理者はサービスのパスワードデータベースを編集し、保存されているハッシュを $2a から $2x へ変更します。こうすることで、crypt() が古いアルゴリズムを使用するようになります。ユーザーは、パスワードを変更して、確実に適切なアルゴリズムへ移行する必要があります。

よくある質問：

Q：私はパスワードに ASCII 文字しか使っていませんが、それでも影響を受けますか?回答：いいえ。

Q：更新の前後で、ID の意味はどうなりますか?回答：
更新前：$2a -> バグが多いアルゴリズム

更新後：$2x -> バグが多いアルゴリズム $2a -> 正しいアルゴリズム $2y
-> 正しいアルゴリズム

PAM を使用しているシステムログインでは、デフォルトで compat モードを有効にしています：$2x -> バグが多いアルゴリズム $2a -> バグが多いアルゴリズム $2y -> 正しいアルゴリズム

Q：次回のログインで、ユーザーにパスワードを変更させるにはどうすればよいですか?回答：
各ユーザーに対して、root として次のコマンドを実行します： chage -d 0

Q：パスワードデータベースに $2a ハッシュがあるアプリケーションを実行しています。
一部のユーザーから、ログインできなくなったという苦情を受けています。回答：パスワードデータベースを編集し、影響を受けるユーザーのハッシュのプレフィックス「$2a」を「$2x」に変更してください。ユーザーは再びログインできるようになりますが、パスワードを直ちに変更しなければなりません。

質問：システムログインに対して、compat モードをオフにする方法を教えてください。回答：次を設定してください： BLOWFISH_2a2x=no in /etc/default/passwd