FYI: Kritischer Fehler - yast2-users-2.7.20-15
FYI: Date: Mon, 28 Jul 2003 05:05:10 +0200 (CEST)
Subject: Kritischer Fehler - yast2-users-2.7.20-15 From: "Andreas Mallek" <mallek@intertrend.de> To: security@suse.de Cc: mueller@intertrend.de Reply-To: mallek@intertrend.de Importance: High
Sehr geehrte Damen und Herren,
mit grossem Entsetzen mussten wir soeben feststellen, dass Sie einen kritischen Fehler in Ihren Yast2-Usermanager eingebaut haben.
Das Problem tritt auf, sobald mindestens zwei Benutzer mit derselben UID auf dem System erzeugt und anschließend mit Hilfe des Yast2 Usermanager Änderungen an irgendeinem Benutzer vorgenommen werden.
Beim Beenden des Usermanagers werden dann die auf dem System vorhandenen Benutzer neu in die /etc/passwd und in die /etc/shadow geschrieben, wobei nur der erste Benutzer mit jeweils gleichen UIDs (in alphabetischer Reihenfolge) in die /etc/passwd zurückgeschrieben wird. Dieses Problem tritt in der /etc/shadow nicht auf. Dort werden alle Benutzer durch Yast2 eingetragen.
Auch Benutzer root wird durch Yast2 entfernt, sobald ein Benutzer z.B. mit dem Usernamen "bert" und der UID 0 angelegt wird und danach die Yast2 Routine ausgeführt wird.
Wir haben das genannte Problem auf verschienen SuSE 8.2er Versionen getestet, und auf einem SuSE 8.1 System. SuSE 8.1 ist davon nicht betroffen, nur SuSE 8.2!
Das Problem hängt nach unseren Tests auch nicht mit der Sort-Funktion des Yast2 Password-Managers zusammen. Ohne die passwd-Sort Funktion ist das Problem auf unseren Systemen auch aufgetreten.
SuSE 8.1 Pro - yast2-users-2.6.27-10 - fehler tritt nicht auf SuSE 8.2 Pro - yast2-users-2.7.20-15 - fehler tritt auf
Im Normalfall verwenden wir kein Yast, die heutige Ausnahme hat meine Meinung über solche Tools gestärkt.
Wir würden uns freuen von Ihnen zu hören und verbleiben
mit freundlichem Gruß, best Regards, TEAM INTERTREND Network & Security --------------------------------------------- intertrend Network & Security Solutions GmbH Andreas Mallek, Chief Software Engineer Bleichstraße 8a - D-35390 Giessen Ph. +49 641 984993 Fax +49 641 984993 5 http://www.intertrend.de - mailto:mallek@intertrend.de
-- +++ regfish.com - Domains, Web-Mail & more http://www.regfish.com +++ Und DynDNS gibts zu jeder bestellten Domain natürlich gratis dazu! :)
mit grossem Entsetzen mussten wir soeben feststellen, dass Sie einen kritischen Fehler in Ihren Yast2-Usermanager eingebaut haben.
sorry for my german mail. here the translation: At 06:10 28.07.2003, Carsten Mueller wrote: Critical error in yast2 usermanager: the problem occures if you have > 1 user with the same UID and start yast2 usermanager to add or modify a user.
Das Problem tritt auf, sobald mindestens zwei Benutzer mit derselben UID auf dem System erzeugt und anschließend mit Hilfe des Yast2 Usermanager Änderungen an irgendeinem Benutzer vorgenommen werden. if you commit all changes and let yast2 write the changes to passwd, only the first users (alpha asc sorted) of the users with same uid will be written back to passwd. all others are deleted, but only in passwd not in shadow...
Beim Beenden des Usermanagers werden dann die auf dem System vorhandenen Benutzer neu in die /etc/passwd und in die /etc/shadow geschrieben, wobei nur der erste Benutzer mit jeweils gleichen UIDs (in alphabetischer Reihenfolge) in die /etc/passwd zurückgeschrieben wird. Dieses Problem tritt in der /etc/shadow nicht auf. Dort werden alle Benutzer durch Yast2 eingetragen. root will be deleted too if another user with uid is in the passwd with a username (alpha sorted asc) lower root.
Auch Benutzer root wird durch Yast2 entfernt, sobald ein Benutzer z.B. mit dem Usernamen "bert" und der UID 0 angelegt wird und danach die Yast2 Routine ausgeführt wird.
Wir haben das genannte Problem auf verschienen SuSE 8.2er Versionen getestet, und auf einem SuSE 8.1 System. SuSE 8.1 ist davon nicht betroffen, nur SuSE 8.2! the problem occured on a suse 8.2 professional system. on a 8.1 professional system the problem was not reproduceable.
the problem occures either the passwd sort function is enabled or disabled.
Das Problem hängt nach unseren Tests auch nicht mit der Sort-Funktion des Yast2 Password-Managers zusammen. Ohne die passwd-Sort Funktion ist das Problem auf unseren Systemen auch aufgetreten.
SuSE 8.1 Pro - yast2-users-2.6.27-10 - fehler tritt nicht auf SuSE 8.2 Pro - yast2-users-2.7.20-15 - fehler tritt auf
don´t use yast if you have no homedesktop system :-)
Im Normalfall verwenden wir kein Yast, die heutige Ausnahme hat meine Meinung über solche Tools gestärkt.
Wir würden uns freuen von Ihnen zu hören und verbleiben
mit freundlichem Gruß, best Regards, TEAM INTERTREND Network & Security --------------------------------------------- intertrend Network & Security Solutions GmbH Andreas Mallek, Chief Software Engineer Bleichstraße 8a - D-35390 Giessen Ph. +49 641 984993 Fax +49 641 984993 5 http://www.intertrend.de - mailto:mallek@intertrend.de
-- +++ regfish.com - Domains, Web-Mail & more http://www.regfish.com +++ Und DynDNS gibts zu jeder bestellten Domain natürlich gratis dazu! :)
-- Check the headers for your unsubscription address For additional commands, e-mail: suse-security-help@suse.com Security-related bug reports go to security@suse.de, not here
participants (1)
-
Carsten Mueller