JVNDB-2015-004457

Linux-PAM の pam_unix モジュールの _unix_run_helper_binary 関数におけるユーザ名を列挙される脆弱性

Linux-PAM (別名 pam) の pam_unix モジュールの _unix_run_helper_binary 関数には、パスワードに直接アクセスできない場合、ユーザ名を列挙される、またはサービス運用妨害 (ハング) 状態にされる脆弱性が存在します。

kernel.org

• Linux-PAM 1.2.1 未満

オラクル

• XCP 1121 未満 (SPARC Enterprise M3000/M4000/M5000/M8000/M9000 サーバ)
• SPARC Enterprise M3000 サーバ
• SPARC Enterprise M4000 サーバ
• SPARC Enterprise M5000 サーバ
• SPARC Enterprise M8000 サーバ
• SPARC Enterprise M9000 サーバ

ローカルユーザにより、過度に長いパスワードを介して、ユーザ名を列挙される、またはサービス運用妨害 (ハング) 状態にされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

kernel.org

• Linux-PAM : Linux-PAM

Trustwave

• Trustwave : Username Enumeration against OpenSSH/SELinux with CVE-2015-3238
• Trustwave : TWSL2015-011

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - April 2016
• Oracle Critical Patch Update : Oracle Critical Patch Update CVSS V2 Risk Matrices - April 2016
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - April 2016 Risk Matrices
• SECURITY BLOG : April 2016 Critical Patch Update Released

レッドハット

• Red Hat Bugzilla : Bug 1228571
• Red Hat Security Advisory : RHSA-2015:1640

1. 情報漏えい(CWE-200) [NVD評価]

1. CVE-2015-3238

1. National Vulnerability Database (NVD) : CVE-2015-3238

• [2015年08月27日]
    掲載
  [2016年05月31日]
    CVSS による深刻度：内容を更新
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update CVSS V2 Risk Matrices - April 2016) を追加
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - April 2016) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - April 2016 Risk Matrices) を追加
    ベンダ情報：オラクル (April 2016 Critical Patch Update Released) を追加