Mailinglist Archive: opensuse-security (359 mails)

< Previous Next >
FYI: Kritischer Fehler - yast2-users-2.7.20-15
  • From: Carsten Mueller <suse-security-list@xxxxxxxxxxxxx>
  • Date: Mon, 28 Jul 2003 06:10:30 +0200
  • Message-id: <5.2.0.9.2.20030728061007.029bec58@xxxxxxxxxxxxxxx>
FYI:

Date: Mon, 28 Jul 2003 05:05:10 +0200 (CEST)
Subject: Kritischer Fehler - yast2-users-2.7.20-15
From: "Andreas Mallek" <mallek@xxxxxxxxxxxxx>
To: security@xxxxxxx
Cc: mueller@xxxxxxxxxxxxx
Reply-To: mallek@xxxxxxxxxxxxx
Importance: High

Sehr geehrte Damen und Herren,

mit grossem Entsetzen mussten wir soeben feststellen, dass Sie
einen kritischen Fehler in Ihren Yast2-Usermanager eingebaut haben.

Das Problem tritt auf, sobald mindestens zwei Benutzer mit derselben
UID auf dem System erzeugt und anschließend mit Hilfe des Yast2
Usermanager Änderungen an irgendeinem Benutzer vorgenommen werden.

Beim Beenden des Usermanagers werden dann die auf dem System vorhandenen
Benutzer neu in die /etc/passwd und in die /etc/shadow geschrieben,
wobei nur der erste Benutzer mit jeweils gleichen UIDs
(in alphabetischer Reihenfolge) in die /etc/passwd zurückgeschrieben
wird. Dieses Problem tritt in der /etc/shadow nicht auf. Dort werden
alle Benutzer durch Yast2 eingetragen.

Auch Benutzer root wird durch Yast2 entfernt, sobald ein Benutzer z.B.
mit dem Usernamen "bert" und der UID 0 angelegt wird und danach die
Yast2 Routine ausgeführt wird.

Wir haben das genannte Problem auf verschienen SuSE 8.2er Versionen
getestet, und auf einem SuSE 8.1 System. SuSE 8.1 ist davon nicht
betroffen, nur SuSE 8.2!

Das Problem hängt nach unseren Tests auch nicht mit der Sort-Funktion
des Yast2 Password-Managers zusammen. Ohne die passwd-Sort Funktion ist
das Problem auf unseren Systemen auch aufgetreten.

SuSE 8.1 Pro - yast2-users-2.6.27-10 - fehler tritt nicht auf
SuSE 8.2 Pro - yast2-users-2.7.20-15 - fehler tritt auf

Im Normalfall verwenden wir kein Yast, die heutige Ausnahme
hat meine Meinung über solche Tools gestärkt.

Wir würden uns freuen von Ihnen zu hören und verbleiben


mit freundlichem Gruß, best Regards,
TEAM INTERTREND Network & Security
---------------------------------------------
intertrend Network & Security Solutions GmbH
Andreas Mallek, Chief Software Engineer
Bleichstraße 8a - D-35390 Giessen
Ph. +49 641 984993 Fax +49 641 984993 5
http://www.intertrend.de - mailto:mallek@xxxxxxxxxxxxx



--
+++ regfish.com - Domains, Web-Mail & more http://www.regfish.com +++
Und DynDNS gibts zu jeder bestellten Domain natürlich gratis dazu! :)



< Previous Next >