SuSE 10 安全性更新:glibc (ZYPP 修補程式編號 7659)

medium Nessus Plugin ID 55920

概要

遠端 SuSE 10 主機缺少安全性相關修補程式。

說明

根據密碼雜湊方法的 blowfish 實作具有一個錯誤,會影響包含 8 位元字元的密碼 (例如,umlauts)。
受影響的密碼可能會透過暴力密碼破解方法,更快地被破解。(CVE-2011-2483)

SUSE 的 crypt() 實作支援 blowfish 密碼雜湊函式 (id $2a),系統登入亦會依預設使用此方法。
此更新可消除 $2a 實作中的錯誤。安裝此更新之後,如果密碼包含 8 位元字元,現有的 $2a 雜湊會因此不再符合用正確的新實作所產生的雜湊。針對透過 PAM 的系統登入,pam_unix2 模組會啟用相容模式,並繼續用舊演算法處理現有的 $2a 雜湊。這可確保沒有使用者會被鎖定。
新密碼雜湊用 id「$2y」產生,以明確地識別其是用正確的實作所產生的。

注意:若要實際將雜湊遷移至新的演算法,建議所有使用者皆在更新之後變更密碼。

服務如果用 crypt() (而非 PAM) 儲存使用 blowfish 雜湊的密碼,則不具有此類相容模式。這表示,使用這類服務的使用者如果其密碼為 8 位元,則他們在更新後無法再繼續登入。系統管理員可採取的因應措施是編輯該服務的密碼資料庫,並將儲存的雜湊從 $2a 變更為 $2x。如此將導致 crypt() 使用舊的演算法。若要確保移轉至正確的演算法,使用者必須變更自己的密碼。

常見問題集 (FAQ):

問:我在密碼中僅使用 ASCII 字元,也會受到影響嗎?答:不會。

問:在此更新前後,id 的意義是什麼?答:
更新之前:$2a -> 錯誤的演算法

更新之後:$2x -> 錯誤的演算法 $2a -> 正確的演算法 $2y
-> 正確的演算法

使用 PAM 的系統登入依預設會啟用相容模式:$2x -> 錯誤的演算法 $2a -> 錯誤的演算法 $2y -> 正確的演算法

問:我要如何要求使用者在下次登入時變更其密碼?答:
以 root 身分針對每位使用者執行下列命令:chage -d 0

問:我執行在其密碼資料庫中具有 $2a 雜湊的應用程式。
有些使用者抱怨他們無法再登入了。答:編輯密碼資料庫,並將受影響的使用者之雜湊‘$2a’前置詞變更為‘$2x’。他們將能再次登入,但應立即變更自己的密碼。

問:我要如何關閉系統登入的相容模式?答:設定 BLOWFISH_2a2x=no in /etc/default/passwd

解決方案

套用 ZYPP 修補程式編號 7659。

另請參閱

http://support.novell.com/security/cve/CVE-2011-2483.html

Plugin 詳細資訊

嚴重性: Medium

ID: 55920

檔案名稱: suse_glibc-7659.nasl

版本: 1.9

類型: local

代理程式: unix

已發布: 2011/8/20

已更新: 2021/1/19

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.7

CVSS v2

風險因素: Medium

基本分數: 5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

弱點資訊

CPE: cpe:/o:suse:suse_linux

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

修補程式發佈日期: 2011/7/29

參考資訊

CVE: CVE-2011-2483