发布日期：2003-08-12
更新日期：2003-08-15

受影响系统：

Leon J Breedt pam-pgsql 0.5.1
    - FreeBSD 4.4
Leon J Breedt pam-pgsql 0.5.2
    - Debian Linux 3.0

描述：

---

BUGTRAQ  ID: 8379
CVE(CAN) ID: CVE-2003-0672

pam-pgsql是一款用于PostgreSQL数据库接口的PAM认证模块。

pam-pgsql不正确处理用户提交的用户名，当记录消息时可导致发生格式字符串问题。

攻击者提交恶意格式字符串作为用户名给使用PAM验证的程序(如HTTP、SSH、telnet)，用户名在随后的pam-pqsql记录日志的过程中会发生格式串处理问题，导致进程内存中的敏感信息被破坏 ，精心构建提交数据可能以使用PAM验证的进程权限在系统上执行任意指令。

<*来源：Debian Security Advisory
  
  链接：http://www.debian.org/security/2003/dsa-370
*>

建议：

---

厂商补丁：

Debian
------
http://www.debian.org/security/2003/dsa-370

浏览次数：3160
严重程度：0（网友投票）