Összefoglaló
Az SSSD több sérülékenységét jelentették, amiket kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.
Leírás
A sérülékenységeket az “sss_autofs_cmd_getautomntent()” és “sss_autofs_cmd_getautomntbyname()” (src/responder/autofs/autofssrv_cmd.c) valamint az “ssh_cmd_parse_request()” (src/responder/ssh/sshsrv_cmd.c) függvények out-of-bounds olvasási hibái okozzák, amiket kihasználva a rendszer összeomlását lehet előidézni speciálisan összeállított csomagok küldésével az SSSD részére.
MEGJEGYZÉS: ezeken kívül egy versenyhelyzeti hibát is jelentettek a könyvtár szerkezet kezelésében, amit kihasználva módosítani lehet a könyvtár struktúrát.
A sérülékenységeket az 1.9.3 verzióban jelentettét, de más kiadások is érintettek lehetnek.
Megoldás
A javítás elérhető a verziókövető rendszerből.
Támadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: fedorahosted.org
Gyártói referencia: fedorahosted.org
CVE-2013-0219 - NVD CVE-2013-0219
CVE-2013-0220 - NVD CVE-2013-0220
SECUNIA 51928