Amazon Linux AMI:pam (ALAS-2014-354)
medium Nessus プラグイン ID 78297
Language:
概要
リモートのAmazon Linux AMIホストに、セキュリティ更新プログラムがありません。説明
Linux-PAM (別名 pam) 1.1.8の pam_timestamp モジュールの中の pam_timestamp.c の複数のディレクトリトラバーサルの脆弱性のために、format_timestamp_name 関数により使用される (1) get_ruser 関数への PAM_RUSER 値、または check_tty 関数への (2) PAM_TTY 値の中の「..」 (2 つのドット) を介して、ローカルユーザーが任意のファイルを作成したり、おそらくは認証をバイパスする可能性があります。
Pam 用の pam_userdb モジュールは、大文字小文字の区別があるメソッドを使用して、ハッシュされたパスワードを比較するために、攻撃者はブルートフォース攻撃を介して、パスワードを推測することが容易になります。
ソリューション
「yum update pam」を実行してシステムを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 78297
ファイル名: ala_ALAS-2014-354.nasl
バージョン: 1.3
タイプ: local
エージェント: unix
公開日: 2014/10/12
更新日: 2018/4/18
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.2
CVSS v2
リスクファクター: Medium
基本値: 5.8
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
脆弱性情報
CPE: p-cpe:/a:amazon:linux:pam, p-cpe:/a:amazon:linux:pam-debuginfo, p-cpe:/a:amazon:linux:pam-devel, cpe:/o:amazon:linux
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
パッチ公開日: 2014/6/15
参照情報
CVE: CVE-2013-7041, CVE-2014-2583
ALAS: 2014-354