<HTML>
<HEAD>
<TITLE>Se procurer le paquetage Shadow.</TITLE>
</HEAD>
<BODY>
<H1>3. <A NAME="s3"></A>Se procurer le paquetage Shadow.</H1>
<P>
<A HREF="Shadow-Password-HOWTO.html#toc3">Contenu de cette section</A></P>
<H2>3.1 <A NAME="ss3.1"></A> Historique du paquetage Shadow pour Linux?</H2>
<P><EM>N'UTILISEZ PAS LES PAQUETAGES DECRITS DANS CETTE SECTION, ILS
CONTIENNENT DES PROBLEMES DE SECURITE</EM></P>
<P>Le paquetage Shadow original a été écrit par <CODE>John F. Haugh II</CODE>.</P>
<P>De nombreuses versions peuvent être utilisées sur un système Linux:
<UL>
<LI><CODE>shadow-3.3.1</CODE> est l'original</LI>
<LI><CODE>shadow-3.3.1-2</CODE> est le patch spécifique à Linux fait par
<CODE>
<A HREF="mailto:flla@stud.uni-sb.de">Florian La Roche (flla@stud.uni-sb.de)</A>
</CODE>
et contient quelques améliorations.</LI>
<LI>
<A HREF="ftp://sunsite.unc.edu/pub/Linux/system/Admin/shadow-mk1.tar.gz">shadow-mk</A>
est le paquetage spécifique à Linux.</LI>
</UL>
</P>
<P>Le paquetage <CODE>shadow-mk</CODE> est en fait constitué du paquetage
<CODE>shadow-3.3.1</CODE> distribué par <CODE>John F. Haugh II</CODE> patché avec
<CODE>shadow-3.3.1-2</CODE> avec en plus:
<UL>
<LI>des corrections par <CODE>
<A HREF="mailto:magnus@texas.net">Mohan Kokal <magnus@texas.net></A>
</CODE>
rendant l'installation bien plus évidente, </LI>
<LI>un patch par <CODE>Joseph R.M. Zbiciak</CODE>
pour <CODE>login1.c</CODE> (login.secure) qui élimine les trous de sécurité -f, -h de
/bin/login et quelques autres patches divers.</LI>
</UL>
</P>
<P>Le paquetage <CODE>shadow-mk</CODE> était
précédemment recommandé, mais il doit être
remplacé à cause d'un trou de sécurité du
programme <CODE>login</CODE>.</P>
<P>Il y a des <EM>trous de sécurité</EM> dans les versions
3.3.1, 3.3.1-2 et shadow-mk qui sont dûs au programme
<CODE>login</CODE>. Le bogue <CODE>login</CODE> implique de ne pas vérifier la
longueur du nom de login. Cela entraîne un surpassement de la
zone tampon qui provoque un crash ou pire encore. Il est dit que ce
surpassement de zone tampon pourrait permettre à quiconque
ayant un compte sur le système d'utiliser ce bogue ainsi que
des bibliothèques partagées pour gagner un accès
<SF>root</SF>. Je ne pourrais pas vous dire exactement comment cela est
possible mais de nombreux systèmes Linux sont affectés.
Mais les systèmes possédants ces <EM>paquetages Shadow</EM>,
ainsi que la plupart des distributions pre-ELF <EM>sans</EM> le
<EM>paquetage Shadow</EM> sont vulnérables !</P>
<P>Pour de plus amples informations sur cette publication ainsi que
d'autres publications concernant les problèmes de
sécurité de Linux, consultez la <EM>Linux
Security Home Page (Shared Libraries and login Program Vulnerability)</EM>
à
<A HREF="http://bach.cis.temple.edu/linux/linux-security/Linux-Security-Faq/Linux-telnetd.html"><http://bach.cis.temple.edu/linux/linux-security/Linux-Security-Faq/Linux-telnetd.html></A>
</P>
<P></P>
<H2>3.2 <A NAME="ss3.2"></A> Où trouver la Suite Shadow</H2>
<P>La seule suite recommandée est en béta test, donc les
dernières versions sont utilisables en environnement de
production et ne contiennent pas de programme <SF>login</SF>
vulnérable.</P>
<P>Le paquetage utilise la convention de notation suivante :
<PRE>
shadow-AAMMJJ.tar.gz
</PRE>
où <CODE>AAMMJJ</CODE> est la date de publication de la suite.</P>
<P>Cette version sera éventuellement la version 3.3.3 lorsqu'elle
sera publiée après le béta test; et est maintenue
par
<A HREF="mailto:marekm@il7linuxb.ists.pwr.wroc.pl">Marek Michalkiewicz <marekm@il7linuxb.ists.pwr.wroc.pl></A>
. Elle est
disponible sous la forme : <EM>shadow-current.tar.gz</EM> à
l'adresse
<A HREF="ftp://il7linuxb.ists.pwr.wroc.pl/pub/linux/shadow/shadow-current.tar.gz"><ftp://il7linuxb.ists.pwr.wroc.pl/pub/linux/shadow/shadow-current.tar.gz></A>
.</P>
<P>Les miroirs suivants sont aussi disponibles :
<UL>
<LI>ftp://ftp.icm.edu.pl/pub/Linux/shadow/shdow-current.tar.gz</LI>
<LI>ftp://iguana.hut.fi/pub/linux/shadow/shadow-current.tar.gz</LI>
<LI>ftp://ftp.cin.net/usr/ggallag/shadow/shadow-current.tar.gz</LI>
<LI>ftp://ftp.netural.com/pub/linux/shadow/shadow-current.tar.gz</LI>
</UL>
</P>
<P>Vous devez utiliser la version actuelle disponible.</P>
<P>Vous NE devez PAS utiliser une version plus ancienne que la version
<CODE>shadow-960129</CODE> du fait qu'elles possèdent le
problème de sécurité décrit plus avant.</P>
<P>Lorsque ce document fait référence à la <EM>Suite
Shadow</EM>, je ferais référence à ce paquetage. Il
est donc supposé que vous utilisez ce paquetage.</P>
<P>Pour information, j'ai utilisé le paquetage
<CODE>shadow-960129</CODE> pour faire les instructions d'installation.</P>
<P>Si vous utilisiez précédemment le paquetage
<CODE>shadow-mk</CODE>, vous devriez mettre à jour cette version et
reconstruire tout ce que vous avez originellement compilé.</P>
<P></P>
<H2>3.3 <A NAME="ss3.3"></A> Ce qui est inclus dans le paquetage Shadow</H2>
<P>La paquetage shadow contient les programmes de remplacement pour:</P>
<P><CODE>su, login, passwd, newgrp, chfn, chsh, et id</CODE></P>
<P>Mais il contient aussi des nouveaux programmes:</P>
<P><CODE>chage, newusers, dpasswd, gpasswd, useradd, userdel, usermod,
groupadd, groupdel, groupmod, groups, pwck, grpck, lastlog, pwconv,
et pwunconv</CODE></P>
<P>De plus, la bibliothèque: <CODE>libshadow.a</CODE> est incluse pour permettre de
compiler les programmes nécessitant un accès en lecture/écritures aux
mots de passe.</P>
<P>Les pages de manuel sont aussi incluses.</P>
<P>Il y a aussi un programme de configuration pour le program <CODE>login</CODE>
intallé sous le nom de <CODE>/etc/login.defs</CODE>.</P>
<P></P>
<P></P>
<HR>
<P>
Chapitre <A HREF="Shadow-Password-HOWTO-4.html">suivant</A>,
Chapitre <A HREF="Shadow-Password-HOWTO-2.html">Précédent</A>
<P>
Table des matières de <A HREF="Shadow-Password-HOWTO.html#toc3">ce chapitre</A>,
<A HREF="Shadow-Password-HOWTO.html#toc">Table des matières</A> générale</P>
<P>
<A HREF="Shadow-Password-HOWTO.html">Début</A> du document,
<A HREF="#0"> Début de ce chapitre</A></P>
</BODY>
</HTML>
