openSUSE セキュリティ更新:glibc(openSUSE-SU-2011:0921-1)

medium Nessus プラグイン ID 75519

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

Blowfish ベースのパスワードハッシングメソッドの実装に、8 ビット文字(例:ウムラウト記号)が含まれるパスワードに影響を与えるバグがありました。
影響を受けるパスワードは、ブルートフォースの方法でより短時間で解読される可能性があります(CVE-2011-2483)。

SUSE の crypt() 実装は、Blowfish によるパスワードハッシュ化機能(id $2a)をサポートし、デフォルトではシステムのログインでもこの方法が使用されます。
この更新は、$2a 実装におけるバグを排除します。このため、更新のインストール後、パスワードに 8 ビット文字が含まれている場合、既存の $2a ハッシュは新しく適切な実装で生成されたハッシュと一致しなくなります。PAM を介したシステムログインでは、 pam_unix2 モジュールがコンパクトモードを起動し、既存の $2a ハッシュは引き続き古いアルゴリズムで処理されます。これにより、ユーザーがロックアウトされることはありません。
新しいパスワードハッシュは id「$2y」で作成されるため、適切な実装で生成されたものとして明確に識別できます。

注:新しいアルゴリズムにハッシュを実際に移行するために、全ユーザーは、更新後にパスワードを変更することが推奨されます。

Blowfish ハッシュを使用したパスワードの保存に、PAM ではなく crypt() を使用するサービスには、このようなコンパクトモードはありません。つまり、このようなサービスを使用する 8 ビットパスワードのユーザーは、更新後ログインできなくなります。回避策として、管理者はサービスのパスワードデータベースを編集し、保存されているハッシュを $2a から $2x へ変更します。こうすることで、crypt() が古いアルゴリズムを使用するようになります。ユーザーは、パスワードを変更して、確実に適切なアルゴリズムへ移行する必要があります。

よくある質問:

Q:私はパスワードに ASCII 文字しか使っていませんが、それでも影響を受けますか?回答:いいえ。

Q:更新の前後で、ID の意味はどうなりますか?回答:
更新前:$2a -> バグが多いアルゴリズム

更新後:$2x -> バグが多いアルゴリズム $2a -> 正しいアルゴリズム $2y
-> 正しいアルゴリズム

PAM を使用しているシステムログインでは、デフォルトでコンパクトモードを有効にしています:$2x -> バグが多いアルゴリズム $2a -> バグが多いアルゴリズム $2y

-> 正しいアルゴリズム

Q:次回のログインで、ユーザーにパスワードを変更させるにはどうすればよいですか?それぞれのユーザーに対して、
以下のコマンドを root として実行します: chage -d 0 <username>

Q:パスワードデータベースに $2a ハッシュがあるアプリケーションを実行しています。
一部のユーザーから、ログインできなくなったという苦情を受けています。回答:パスワードデータベースを編集し、影響を受けるユーザーのハッシュのプレフィックス「$2a」を「$2x」に変更してください。ユーザーは再びログインできるようになりますが、パスワードを直ちに変更しなければなりません。

質問:システムログインに対して、compat モードをオフにする方法を教えてください。回答:次を設定してください: BLOWFISH_2a2x=no in /etc/default/passwd

ソリューション

影響を受ける glibc パッケージを更新してください。

参考資料

https://bugzilla.novell.com/show_bug.cgi?id=700876

https://lists.opensuse.org/opensuse-updates/2011-08/msg00027.html

プラグインの詳細

深刻度: Medium

ID: 75519

ファイル名: suse_11_3_glibc-110729.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2014/6/13

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.7

CVSS v2

リスクファクター: Medium

Base Score: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:glibc, p-cpe:/a:novell:opensuse:glibc-32bit, p-cpe:/a:novell:opensuse:glibc-devel, p-cpe:/a:novell:opensuse:glibc-devel-32bit, p-cpe:/a:novell:opensuse:glibc-html, p-cpe:/a:novell:opensuse:glibc-i18ndata, p-cpe:/a:novell:opensuse:glibc-info, p-cpe:/a:novell:opensuse:glibc-locale, p-cpe:/a:novell:opensuse:glibc-locale-32bit, p-cpe:/a:novell:opensuse:glibc-obsolete, p-cpe:/a:novell:opensuse:glibc-profile, p-cpe:/a:novell:opensuse:glibc-profile-32bit, p-cpe:/a:novell:opensuse:libxcrypt, p-cpe:/a:novell:opensuse:libxcrypt-32bit, p-cpe:/a:novell:opensuse:libxcrypt-devel, p-cpe:/a:novell:opensuse:nscd, p-cpe:/a:novell:opensuse:pam-modules, p-cpe:/a:novell:opensuse:pam-modules-32bit, p-cpe:/a:novell:opensuse:pwdutils, p-cpe:/a:novell:opensuse:pwdutils-plugin-audit, p-cpe:/a:novell:opensuse:pwdutils-rpasswd, p-cpe:/a:novell:opensuse:pwdutils-rpasswd-32bit, cpe:/o:novell:opensuse:11.3

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

パッチ公開日: 2011/7/29

参照情報

CVE: CVE-2011-2483