openSUSE 安全性更新:yast2-core (openSUSE-SU-2011:0921-2)

medium Nessus Plugin ID 75781

概要

遠端 openSUSE 主機缺少安全性更新。

說明

此更新包含 yast2 核心變更,可將新密碼的雜湊產生變更為新的安全樣式。

請閱讀下列一般備註:

根據密碼雜湊方法的 blowfish 實作具有一個錯誤,會影響包含 8 位元字元的密碼 (例如,umlauts)。
受影響的密碼可能會透過暴力密碼破解方法,更快地被破解 (CVE-2011-2483)。

SUSE 的 crypt() 實作支援 blowfish 密碼雜湊函式 (id $2a),系統登入亦會依預設使用此方法。
此更新可消除 $2a 實作中的錯誤。安裝此更新之後,如果密碼包含 8 位元字元,現有的 $2a 雜湊會因此不再符合用正確的新實作所產生的雜湊。針對透過 PAM 的系統登入,pam_unix2 模組會啟用相容模式,並繼續用舊演算法處理現有的 $2a 雜湊。這可確保沒有使用者會被鎖定。
新密碼雜湊用 id「$2y」產生,以明確地識別其是用正確的實作所產生的。

注意:若要實際將雜湊遷移至新的演算法,建議所有使用者皆在更新之後變更密碼。

服務如果用 crypt() (而非 PAM) 儲存使用 blowfish 雜湊的密碼,則不具有此類相容模式。這表示,使用這類服務的使用者如果其密碼為 8 位元,則他們在更新後無法再繼續登入。系統管理員可採取的因應措施是編輯該服務的密碼資料庫,並將儲存的雜湊從 $2a 變更為 $2x。如此將導致 crypt() 使用舊的演算法。若要確保移轉至正確的演算法,使用者必須變更自己的密碼。

常見問題集 (FAQ):

問:我在密碼中僅使用 ASCII 字元,也會受到影響嗎?答:不會。

問:在此更新前後,id 的意義是什麼?答:
更新之前:$2a -> 錯誤的演算法

更新之後:$2x -> 錯誤的演算法 $2a -> 正確的演算法 $2y
-> 正確的演算法

使用 PAM 的系統登入依預設會啟用相容模式:$2x -> 錯誤的演算法 $2a -> 錯誤的演算法 $2y

-> 正確的演算法

問:我要如何要求使用者在下次登入時變更其密碼?答:
以 root 身分針對每位使用者執行下列命令:chage -d 0 <username>

問:我執行在其密碼資料庫中具有 $2a 雜湊的應用程式。
有些使用者抱怨他們無法再登入了。答:編輯密碼資料庫,並將受影響的使用者之雜湊‘$2a’前置詞變更為‘$2x’。他們將能再次登入,但應立即變更自己的密碼。

問:我要如何關閉系統登入的相容模式?答:設定 BLOWFISH_2a2x=no in /etc/default/passwd

解決方案

更新受影響的 yast2-core 套件。

另請參閱

https://bugzilla.novell.com/show_bug.cgi?id=700876

https://lists.opensuse.org/opensuse-updates/2011-08/msg00038.html

Plugin 詳細資訊

嚴重性: Medium

ID: 75781

檔案名稱: suse_11_3_yast2-core-110822.nasl

版本: 1.5

類型: local

代理程式: unix

已發布: 2014/6/13

已更新: 2021/1/14

支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.7

CVSS v2

風險因素: Medium

基本分數: 5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

弱點資訊

CPE: p-cpe:/a:novell:opensuse:yast2-core, p-cpe:/a:novell:opensuse:yast2-core-devel, cpe:/o:novell:opensuse:11.3

必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

修補程式發佈日期: 2011/8/22

參考資訊

CVE: CVE-2011-2483