[connect24h:04297] Re: Red Hat PAM qpopper User Enumeration Vulnerability

[michihito matsubara <m-mitch@xxxxxxxxxxxxx>]

松原です。

On Wed, 5 Sep 2001 18:05:31 +0900
"k-imaiz" <k-imaiz@xxxxxxxxxxxxxxxxx> wrote:

> 
> Ｋ−ＩＭです。
> 私どもの職場が利用させて頂いているＩＳＰから
> 「Red Hat PAM qpopper User Enumeration Vulnerability」
> という情報をいただきました。
> ユーザ情報が外部に洩れるという軽度なものだそうですが
> 他の技法と組み合わさるとイヤですね。
> 詳しくは下にある引用をご覧下さい。
> なお、
> POP before SMTP を使っている場合などで
> 下記の再コンパイルによって思わぬ影響が出るのかどうか
> 未確認だとのことでした。　　　　　　　　　　　　　　　　　　　　　以上
> 
> > <引用>
> > 現在、Bugtraq にて「Red Hat PAM qpopper User Enumeration Vulnerability」
> > とのポストが上がっています。これは、qpopper のコンパイルの際に、PAM 認
> > 証を利用する設定が行われている場合に例外なく発生します。
> >
> > 具体的には、攻撃者が対象とする POP3 サーバへ向けてユーザ名とパスワード
> > を送った場合、サーバが返すメッセージによりユーザ名が存在しないのか、パ
> > スワードが誤っているのかを容易に取得できるというものです。
> >
> > 弊社にて検証した所、RedHat 7.0 だけではなく旧バージョンにおいても再現
> > 性が有ることが判明しています。現在有効なパッチは RedHat 及び Qualcomm
> > からも提供されておらず、対応するためには qpopper を PAM 認証を外して
> > 再コンパイルする必要が有ります。
> >
> > この弱点は、直接侵入などを許すような種類のものでは有りませんが、ユーザ
> > 存在有無が確認できることによりアドレス詐称やその他のセキュリティホール
> > を併用する攻撃が可能となります。
> >
> > RedHat ベースの Linux をご利用の管理者様におかれましては、qpopper 利用
> > の有無、PAM 利用の有無をご確認いただき、双方を利用している場合は PAM
> > を外して再コンパイルされることを推奨します。
> >
> > Sample of this vulnerability
> > --> パスワードが異なる場合
> > > +OK QPOP (version ?) at www.xxxxx.com starting.
> > > user shinmei
> > > +OK Password required for shinmei.
> > > pass 12345
> > > -ERR [AUTH] PAM authentication failed for user "shinmei": Authentication
> > failure
> > >  (7)
> > --> ユーザが存在しない場合
> > > +OK QPOP (version ?) at www.xxxxx.com starting.
> > > user hogehoge
> > > +OK Password required for hogehoge.
> > > pass 12345
> > > -ERR [AUTH] Password supplied for "hogehoge" is incorrect.
> >
> > 上記のようにサーバが吐くメッセージが異なります。
> > </引用>


ここにも出てますね。

http://www.securityfocus.com/bid/3242

# おんなじerrorメッセージを吐くようリコンパイル、ってのはダメ?

-- 
Musashino-shi, Tokyo, Japan
(sent from TP235 on ADSL)


------------------------------------------------------------------------
　　　結婚、転勤、気分転換、ライフスタイルはここから変えよう・・・。　　
　　　　⇒ http://house.infoseek.co.jp/House/top?svx=971122