Page suivante Page précédente Table des matières 3. Se procurer le paquetage Shadow. 3.1 Historique du paquetage Shadow pour Linux? N'UTILISEZ PAS LES PAQUETAGES DECRITS DANS CETTE SECTION, ILS CONTIENNENT DES PROBLEMES DE SECURITE Le paquetage Shadow original a été écrit par John F. Haugh II. De nombreuses versions peuvent être utilisées sur un système Linux: shadow-3.3.1 est l'original shadow-3.3.1-2 est le patch spécifique à Linux fait par Florian La Roche (flla@stud.uni-sb.de) et contient quelques améliorations. shadow-mk est le paquetage spécifique à Linux. Le paquetage shadow-mk est en fait constitué du paquetage shadow-3.3.1 distribué par John F. Haugh II patché avec shadow-3.3.1-2 avec en plus: des corrections par Mohan Kokal <magnus@texas.net> rendant l'installation bien plus évidente, un patch par Joseph R.M. Zbiciak pour login1.c (login.secure) qui élimine les trous de sécurité -f, -h de /bin/login et quelques autres patches divers. Le paquetage shadow-mk était précédemment recommandé, mais il doit être remplacé à cause d'un trou de sécurité du programme login. Il y a des trous de sécurité dans les versions 3.3.1, 3.3.1-2 et shadow-mk qui sont dûs au programme login. Le bogue login implique de ne pas vérifier la longueur du nom de login. Cela entraîne un surpassement de la zone tampon qui provoque un crash ou pire encore. Il est dit que ce surpassement de zone tampon pourrait permettre à quiconque ayant un compte sur le système d'utiliser ce bogue ainsi que des bibliothèques partagées pour gagner un accès root. Je ne pourrais pas vous dire exactement comment cela est possible mais de nombreux systèmes Linux sont affectés. Mais les systèmes possédants ces paquetages Shadow, ainsi que la plupart des distributions pre-ELF sans le paquetage Shadow sont vulnérables ! Pour de plus amples informations sur cette publication ainsi que d'autres publications concernant les problèmes de sécurité de Linux, consultez la Linux Security Home Page (Shared Libraries and login Program Vulnerability) à <http://bach.cis.temple.edu/linux/linux-security/Linux-Security-Faq/Linux-telnetd.html> 3.2 Où trouver la Suite Shadow La seule suite recommandée est en béta test, donc les dernières versions sont utilisables en environnement de production et ne contiennent pas de programme login vulnérable. Le paquetage utilise la convention de notation suivante : shadow-AAMMJJ.tar.gz où AAMMJJ est la date de publication de la suite. Cette version sera éventuellement la version 3.3.3 lorsqu'elle sera publiée après le béta test; et est maintenue par Marek Michalkiewicz <marekm@il7linuxb.ists.pwr.wroc.pl>. Elle est disponible sous la forme : shadow-current.tar.gz à l'adresse <ftp://il7linuxb.ists.pwr.wroc.pl/pub/linux/shadow/shadow-current.tar.gz>. Les miroirs suivants sont aussi disponibles : ftp://ftp.icm.edu.pl/pub/Linux/shadow/shdow-current.tar.gz ftp://iguana.hut.fi/pub/linux/shadow/shadow-current.tar.gz ftp://ftp.cin.net/usr/ggallag/shadow/shadow-current.tar.gz ftp://ftp.netural.com/pub/linux/shadow/shadow-current.tar.gz Vous devez utiliser la version actuelle disponible. Vous NE devez PAS utiliser une version plus ancienne que la version shadow-960129 du fait qu'elles possèdent le problème de sécurité décrit plus avant. Lorsque ce document fait référence à la Suite Shadow, je ferais référence à ce paquetage. Il est donc supposé que vous utilisez ce paquetage. Pour information, j'ai utilisé le paquetage shadow-960129 pour faire les instructions d'installation. Si vous utilisiez précédemment le paquetage shadow-mk, vous devriez mettre à jour cette version et reconstruire tout ce que vous avez originellement compilé. 3.3 Ce qui est inclus dans le paquetage Shadow La paquetage shadow contient les programmes de remplacement pour: su, login, passwd, newgrp, chfn, chsh, et id Mais il contient aussi des nouveaux programmes: chage, newusers, dpasswd, gpasswd, useradd, userdel, usermod, groupadd, groupdel, groupmod, groups, pwck, grpck, lastlog, pwconv, et pwunconv De plus, la bibliothèque: libshadow.a est incluse pour permettre de compiler les programmes nécessitant un accès en lecture/écritures aux mots de passe. Les pages de manuel sont aussi incluses. Il y a aussi un programme de configuration pour le program login intallé sous le nom de /etc/login.defs. Page suivante Page précédente Table des matières