openSUSE 安全更新:yast2-core (openSUSE-SU-2011:0921-2)

medium Nessus 插件 ID 75781

简介

远程 openSUSE 主机缺少安全更新。

描述

此更新包含将新密码的哈希生成更改为新的安全样式的 yast2 核心更改。

请阅读以下一般注释:

基于 blowfish 的密码哈希方法的实现存在缺陷,影响了包含 8 位字符(例如元音变音符)的密码。
受影响的密码可能会通过暴力方式迅速破解 (CVE-2011-2483)。

SUSE 的 crypt() 实现支持 blowfish 密码哈希函数 (id $2a),并且默认的系统登录也使用此方法。
此更新消除了 $2a 实现中的缺陷。安装更新后,如果密码包含 8 位字符,现有 $2a 哈希不再与通过新的、正确的实现所生成的哈希匹配。对于通过 PAM 进行的系统登录,pam_unix2 模块会激活兼容模式,并继续使用旧算法处理现有的 $2a 哈希。这样可以确保不会锁定用户。
以 ID“$2y”创建新密码哈希,以明确地将其标识为通过正确的实现生成。

注意:要将哈希实际迁移到新算法,建议所有用户在更新后更改密码。

使用 crypt() 而非 PAM 来存储使用 blowfish 哈希的密码的服务没有此种兼容模式。这表示使用此类服务且具有 8 位密码的用户在更新后将无法登录。变通方案是,管理员可以编辑服务的密码数据库并将存储的哈希从 $2a 更改为 $2x。这将使 crypt() 使用旧算法。应要求用户更改其密码,以确保他们能够迁移到正确的算法。

常见问题:

问:我的密码中只使用 ASCII 字符,我是否会受到任何影响?答:不会。

问:更新前后的 ID 代表什么意思?答:更新前:$2a -> 有缺陷的算法

更新后:$2x -> 有缺陷的算法 $2a -> 正确的算法 $2y -> 正确的算法

使用 PAM 的系统登录默认启用兼容模式:$2x -> 有缺陷的算法 $2a -> 有缺陷的算法 $2y

-> 正确的算法

问:我应该如何要求用户在下次登录时更改密码?答:以根用户身份为每位用户运行以下命令:chage -d 0 <用户名>

问:我运行的应用程序在其密码数据库中有 $2a 哈希。
某些用户抱怨他们再也无法登录。答:请编辑密码数据库,将受影响用户哈希的“$2a”前缀改为“$2x”。他们将能够重新登录,但应尽快更改密码。

问:我应如何关闭系统登录的兼容模式?答:在 /etc/default/passwd 中设置 BLOWFISH_2a2x=no

解决方案

更新受影响的 yast2-core 程序包。

另见

https://bugzilla.novell.com/show_bug.cgi?id=700876

https://lists.opensuse.org/opensuse-updates/2011-08/msg00038.html

插件详情

严重性: Medium

ID: 75781

文件名: suse_11_3_yast2-core-110822.nasl

版本: 1.5

类型: local

代理: unix

发布时间: 2014/6/13

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.7

CVSS v2

风险因素: Medium

基本分数: 5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

漏洞信息

CPE: p-cpe:/a:novell:opensuse:yast2-core, p-cpe:/a:novell:opensuse:yast2-core-devel, cpe:/o:novell:opensuse:11.3

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

补丁发布日期: 2011/8/22

参考资料信息

CVE: CVE-2011-2483