<HTML> <HEAD> <TITLE>Se procurer le paquetage Shadow.</TITLE> </HEAD> <BODY> <H1>3. <A NAME="s3"></A>Se procurer le paquetage Shadow.</H1> <P> <A HREF="Shadow-Password-HOWTO.html#toc3">Contenu de cette section</A></P> <H2>3.1 <A NAME="ss3.1"></A> Historique du paquetage Shadow pour Linux?</H2> <P><EM>N'UTILISEZ PAS LES PAQUETAGES DECRITS DANS CETTE SECTION, ILS CONTIENNENT DES PROBLEMES DE SECURITE</EM></P> <P>Le paquetage Shadow original a été écrit par <CODE>John F. Haugh II</CODE>.</P> <P>De nombreuses versions peuvent être utilisées sur un système Linux: <UL> <LI><CODE>shadow-3.3.1</CODE> est l'original</LI> <LI><CODE>shadow-3.3.1-2</CODE> est le patch spécifique à Linux fait par <CODE> <A HREF="mailto:flla@stud.uni-sb.de">Florian La Roche (flla@stud.uni-sb.de)</A> </CODE> et contient quelques améliorations.</LI> <LI> <A HREF="ftp://sunsite.unc.edu/pub/Linux/system/Admin/shadow-mk1.tar.gz">shadow-mk</A> est le paquetage spécifique à Linux.</LI> </UL> </P> <P>Le paquetage <CODE>shadow-mk</CODE> est en fait constitué du paquetage <CODE>shadow-3.3.1</CODE> distribué par <CODE>John F. Haugh II</CODE> patché avec <CODE>shadow-3.3.1-2</CODE> avec en plus: <UL> <LI>des corrections par <CODE> <A HREF="mailto:magnus@texas.net">Mohan Kokal <magnus@texas.net></A> </CODE> rendant l'installation bien plus évidente, </LI> <LI>un patch par <CODE>Joseph R.M. Zbiciak</CODE> pour <CODE>login1.c</CODE> (login.secure) qui élimine les trous de sécurité -f, -h de /bin/login et quelques autres patches divers.</LI> </UL> </P> <P>Le paquetage <CODE>shadow-mk</CODE> était précédemment recommandé, mais il doit être remplacé à cause d'un trou de sécurité du programme <CODE>login</CODE>.</P> <P>Il y a des <EM>trous de sécurité</EM> dans les versions 3.3.1, 3.3.1-2 et shadow-mk qui sont dûs au programme <CODE>login</CODE>. Le bogue <CODE>login</CODE> implique de ne pas vérifier la longueur du nom de login. Cela entraîne un surpassement de la zone tampon qui provoque un crash ou pire encore. Il est dit que ce surpassement de zone tampon pourrait permettre à quiconque ayant un compte sur le système d'utiliser ce bogue ainsi que des bibliothèques partagées pour gagner un accès <SF>root</SF>. Je ne pourrais pas vous dire exactement comment cela est possible mais de nombreux systèmes Linux sont affectés. Mais les systèmes possédants ces <EM>paquetages Shadow</EM>, ainsi que la plupart des distributions pre-ELF <EM>sans</EM> le <EM>paquetage Shadow</EM> sont vulnérables !</P> <P>Pour de plus amples informations sur cette publication ainsi que d'autres publications concernant les problèmes de sécurité de Linux, consultez la <EM>Linux Security Home Page (Shared Libraries and login Program Vulnerability)</EM> à <A HREF="http://bach.cis.temple.edu/linux/linux-security/Linux-Security-Faq/Linux-telnetd.html"><http://bach.cis.temple.edu/linux/linux-security/Linux-Security-Faq/Linux-telnetd.html></A> </P> <P></P> <H2>3.2 <A NAME="ss3.2"></A> Où trouver la Suite Shadow</H2> <P>La seule suite recommandée est en béta test, donc les dernières versions sont utilisables en environnement de production et ne contiennent pas de programme <SF>login</SF> vulnérable.</P> <P>Le paquetage utilise la convention de notation suivante : <PRE> shadow-AAMMJJ.tar.gz </PRE> où <CODE>AAMMJJ</CODE> est la date de publication de la suite.</P> <P>Cette version sera éventuellement la version 3.3.3 lorsqu'elle sera publiée après le béta test; et est maintenue par <A HREF="mailto:marekm@il7linuxb.ists.pwr.wroc.pl">Marek Michalkiewicz <marekm@il7linuxb.ists.pwr.wroc.pl></A> . Elle est disponible sous la forme : <EM>shadow-current.tar.gz</EM> à l'adresse <A HREF="ftp://il7linuxb.ists.pwr.wroc.pl/pub/linux/shadow/shadow-current.tar.gz"><ftp://il7linuxb.ists.pwr.wroc.pl/pub/linux/shadow/shadow-current.tar.gz></A> .</P> <P>Les miroirs suivants sont aussi disponibles : <UL> <LI>ftp://ftp.icm.edu.pl/pub/Linux/shadow/shdow-current.tar.gz</LI> <LI>ftp://iguana.hut.fi/pub/linux/shadow/shadow-current.tar.gz</LI> <LI>ftp://ftp.cin.net/usr/ggallag/shadow/shadow-current.tar.gz</LI> <LI>ftp://ftp.netural.com/pub/linux/shadow/shadow-current.tar.gz</LI> </UL> </P> <P>Vous devez utiliser la version actuelle disponible.</P> <P>Vous NE devez PAS utiliser une version plus ancienne que la version <CODE>shadow-960129</CODE> du fait qu'elles possèdent le problème de sécurité décrit plus avant.</P> <P>Lorsque ce document fait référence à la <EM>Suite Shadow</EM>, je ferais référence à ce paquetage. Il est donc supposé que vous utilisez ce paquetage.</P> <P>Pour information, j'ai utilisé le paquetage <CODE>shadow-960129</CODE> pour faire les instructions d'installation.</P> <P>Si vous utilisiez précédemment le paquetage <CODE>shadow-mk</CODE>, vous devriez mettre à jour cette version et reconstruire tout ce que vous avez originellement compilé.</P> <P></P> <H2>3.3 <A NAME="ss3.3"></A> Ce qui est inclus dans le paquetage Shadow</H2> <P>La paquetage shadow contient les programmes de remplacement pour:</P> <P><CODE>su, login, passwd, newgrp, chfn, chsh, et id</CODE></P> <P>Mais il contient aussi des nouveaux programmes:</P> <P><CODE>chage, newusers, dpasswd, gpasswd, useradd, userdel, usermod, groupadd, groupdel, groupmod, groups, pwck, grpck, lastlog, pwconv, et pwunconv</CODE></P> <P>De plus, la bibliothèque: <CODE>libshadow.a</CODE> est incluse pour permettre de compiler les programmes nécessitant un accès en lecture/écritures aux mots de passe.</P> <P>Les pages de manuel sont aussi incluses.</P> <P>Il y a aussi un programme de configuration pour le program <CODE>login</CODE> intallé sous le nom de <CODE>/etc/login.defs</CODE>.</P> <P></P> <P></P> <HR> <P> Chapitre <A HREF="Shadow-Password-HOWTO-4.html">suivant</A>, Chapitre <A HREF="Shadow-Password-HOWTO-2.html">Précédent</A> <P> Table des matières de <A HREF="Shadow-Password-HOWTO.html#toc3">ce chapitre</A>, <A HREF="Shadow-Password-HOWTO.html#toc">Table des matières</A> générale</P> <P> <A HREF="Shadow-Password-HOWTO.html">Début</A> du document, <A HREF="#0"> Début de ce chapitre</A></P> </BODY> </HTML>