[PLUTO-security] OpenSSH/PAM timing attack allows remote users
identification
Tom aka 'Dido'
tom at pluto.linux.it
Tue May 6 15:54:23 CEST 2003
> Ottimo lavoro (anche se sembra una di quelle scoperte del caso :-) )
Nel senso di "casuale"?
> Nel testo si menziona la suse come "not confirmed in the default
> install" se usa pam.
Se ho ben capito, Il fatto che il pacchetto sia dipendente da PAM non
significa che sia affetta... Un conto sono le dipendenze dei pacchetti,
un conto è che l'autenticazione avvenga tramite PAM.
Io confermo che la mia RH 9.0 lo è, e se guardi /etc/pam.d/system-auth
vedi anche che il parametro "nodelay" non è presente. Forse in Suse si;
anzi, sarei proprio curioso di saperlo: mi togli il dubbio?
> Grazie per la segnalazione.
>
> Ciao
Grazie a te del feedback!
Dido
More information about the pluto-security
mailing list