SuSE 10 安全更新:glibc(ZYPP 修补程序编号 7659)

medium Nessus 插件 ID 55920

简介

远程 SuSE 10 主机缺少与安全有关的修补程序。

描述

基于 blowfish 的密码哈希方法的实现存在缺陷,影响了包含 8 位字符(例如元音变音符)的密码。
受影响的密码可能会更快地遭到暴力破解。(CVE-2011-2483)

SUSE 的 crypt() 实现支持 blowfish 密码哈希函数 (id $2a),并且默认的系统登录也使用此方法。
此更新消除了 $2a 实现中的缺陷。安装更新后,如果密码包含 8 位字符,现有 $2a 哈希不再与通过新的、正确的实现所生成的哈希匹配。对于通过 PAM 进行的系统登录,pam_unix2 模块会激活兼容模式,并继续使用旧算法处理现有的 $2a 哈希。这样可以确保不会锁定用户。
以 ID“$2y”创建新密码哈希,以明确地将其标识为通过正确的实现生成。

注意:要将哈希实际迁移到新算法,建议所有用户在更新后更改密码。

使用 crypt() 而非 PAM 来存储使用 blowfish 哈希的密码的服务没有此种兼容模式。这表示使用此类服务且具有 8 位密码的用户在更新后将无法登录。变通方案是,管理员可以编辑服务的密码数据库并将存储的哈希从 $2a 更改为 $2x。这将使 crypt() 使用旧算法。应要求用户更改其密码,以确保他们能够迁移到正确的算法。

常见问题 (FAQ):

问:我的密码中只使用 ASCII 字符,我是否会受到任何影响?答:不会。

问:更新前后的 ID 代表什么意思?答:更新前:$2a -> 有缺陷的算法

更新后:$2x -> 有缺陷的算法 $2a -> 正确的算法 $2y -> 正确的算法

使用 PAM 的系统登录默认会启用兼容模式:$2x -> 有缺陷的算法 $2a -> 有缺陷的算法 $2y -> 正确的算法

问:我应该如何要求用户在下次登录时更改密码?答:以根用户身份为每位用户运行以下命令:chage -d 0

问:我运行的应用程序在其密码数据库中有 $2a 哈希。
某些用户抱怨他们再也无法登录。答:请编辑密码数据库,将受影响用户哈希的“$2a”前缀改为“$2x”。他们将能够重新登录,但应尽快更改密码。

问:我应如何关闭系统登录的兼容模式?答:在 /etc/default/passwd 中设置 BLOWFISH_2a2x=no

解决方案

应用 ZYPP 修补程序编号 7659。

另见

http://support.novell.com/security/cve/CVE-2011-2483.html

插件详情

严重性: Medium

ID: 55920

文件名: suse_glibc-7659.nasl

版本: 1.9

类型: local

代理: unix

发布时间: 2011/8/20

最近更新时间: 2021/1/19

支持的传感器: Nessus Agent

风险信息

VPR

风险因素: Medium

分数: 4.7

CVSS v2

风险因素: Medium

基本分数: 5

矢量: AV:N/AC:L/Au:N/C:P/I:N/A:N

漏洞信息

CPE: cpe:/o:suse:suse_linux

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

补丁发布日期: 2011/7/29

参考资料信息

CVE: CVE-2011-2483