阿里云漏洞库

Linux-PAM 'pam_xauth'模块拒绝服务漏洞

CVE编号

CVE-2010-4706

利用情况

暂无

补丁情况

N/A

披露时间

2011-01-25

漏洞描述

Linux-PAM是一款基于Linux的插入式验证模块。在pam_sm_close_session()中，如果无法确定目标uid，会不正确丢弃特权就尝试unlink cookie文件，可能导致特权提升。

解决建议

用户可参考如下供应商提供的安全公告获得补丁程序：http://git.altlinux.org/people/ldv/packages/?p=pam.git;a=commit;h=Linux-PAM-1_1_2-3-g05dafc06cd3dfeb7c4b24942e4e1ae33ff75a123

参考链接
http://git.altlinux.org/people/ldv/packages/?p=pam.git;a=commit;h=Linux-PAM-1...
http://openwall.com/lists/oss-security/2010/10/03/1
http://secunia.com/advisories/49711
http://security.gentoo.org/glsa/glsa-201206-31.xml
http://www.securityfocus.com/bid/46045
https://exchange.xforce.ibmcloud.com/vulnerabilities/65035

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	linux-pam	linux-pam	*		Up to (including) 1.1.2
	运行在以下环境
	应用	linux-pam	linux-pam	0.99.1.0	-
	运行在以下环境
	应用	linux-pam	linux-pam	0.99.10.0	-
	运行在以下环境
	应用	linux-pam	linux-pam	0.99.2.0	-
	运行在以下环境
	应用	linux-pam	linux-pam	0.99.2.1	-
	运行在以下环境
	应用	linux-pam	linux-pam	0.99.3.0	-
	运行在以下环境
	应用	linux-pam	linux-pam	0.99.4.0	-
	运行在以下环境
	应用	linux-pam	linux-pam	0.99.5.0	-
	运行在以下环境
	应用	linux-pam	linux-pam	0.99.6.0	-
	运行在以下环境
	应用	linux-pam	linux-pam	0.99.6.1	-
	运行在以下环境
	应用	linux-pam	linux-pam	0.99.6.2	-
	运行在以下环境
	应用	linux-pam	linux-pam	0.99.6.3	-
	运行在以下环境
	应用	linux-pam	linux-pam	0.99.7.0	-
	运行在以下环境
	应用	linux-pam	linux-pam	0.99.7.1	-
	运行在以下环境
	应用	linux-pam	linux-pam	0.99.8.0	-
	运行在以下环境
	应用	linux-pam	linux-pam	0.99.8.1	-
	运行在以下环境
	应用	linux-pam	linux-pam	0.99.9.0	-
	运行在以下环境
	应用	linux-pam	linux-pam	1.0.0	-
	运行在以下环境
	应用	linux-pam	linux-pam	1.0.1	-
	运行在以下环境
	应用	linux-pam	linux-pam	1.0.2	-
	运行在以下环境
	应用	linux-pam	linux-pam	1.0.3	-
	运行在以下环境
	应用	linux-pam	linux-pam	1.0.4	-
	运行在以下环境
	应用	linux-pam	linux-pam	1.1.0	-
	运行在以下环境
	应用	linux-pam	linux-pam	1.1.1	-

攻击路径

本地
攻击复杂度

低
权限要求

无
影响范围

N/A
用户交互

无
可用性

完全地
保密性

无
完整性

无

CWE-ID	漏洞类型
NVD-CWE-Other