home *** CD-ROM | disk | FTP | other *** search
/ The Unsorted BBS Collection / thegreatunsorted.tar / thegreatunsorted / texts / hacking_info_a-l / adduser.bug < prev    next >
Internet Message Format  |  2001-02-10  |  2KB
  1. From owner-linux-security@tarsier.cv.nrao.edu Wed Sep  6 05:36:55 1995
  2. Return-Path: owner-linux-security@tarsier.cv.nrao.edu
  3. Received: from tarsier.cv.nrao.edu (tarsier.cv.nrao.edu [192.33.115.50]) by server.snni.com (8.6.11/8.6.9) with ESMTP id FAA04163 for <noid@server.snni.com>; Wed, 6 Sep 1995 05:36:54 -0700
  4. Received: (from majdom@localhost) by tarsier.cv.nrao.edu (8.6.12/8.6.9) id WAA27372; Tue, 5 Sep 1995 22:55:57 -0400
  5. Received: (from juphoff@localhost) by tarsier.cv.nrao.edu (8.6.12/8.6.9) id WAA27329; Tue, 5 Sep 1995 22:53:51 -0400
  6. Date: Tue, 5 Sep 1995 22:53:51 -0400
  7. Message-Id: <199509060253.WAA27329@tarsier.cv.nrao.edu>
  8. From: Jeff Uphoff <juphoff@tarsier.cv.nrao.edu>
  9. To: linux-security@tarsier.cv.nrao.edu
  10. Subject: Linux adduser security bug [Forwarded e-mail from Mark Whitis]
  11. X-Quote-I-Like: "Whenever you have an efficient government, you have a dictatorship." --Harry S. Truman.
  12. X-Mailer: VM 5.94 (beta); GNU Emacs 19.29.1
  13. X-Attribution: Up
  14. Sender: owner-linux-security@tarsier.cv.nrao.edu
  15. Precedence: list
  16. Status: RO
  17. X-Status: 
  18.  
  19. Forwarded on from a fellow that I know (personally) here.  I have not
  20. looked into this myself yet...
  21.  
  22. ------- start of forwarded message (RFC 934 encapsulation) -------
  23. From: whitis@wright.nasm.edu (Mark Whitis)
  24. To: juphoff@NRAO.EDU
  25. Subject: Linux adduser security bug
  26. Date: Tue, 5 Sep 95 22:22:44 -0400
  27.  
  28. While writing my own adduser program, I noticed a bug in the adduser program
  29. distributed with linux.  It only generates 256 possible salt values instead
  30. of 4096.  This makes it easier for programs like crack.  It makes
  31. storage of preencrypted dictionaries for all possible salt values more 
  32. feasable (of order 500mb for 256 salts).  Since the security of
  33. unix encrypted passwords is already pretty marginal with the
  34. computing power readily availible today, a factor of 16 degradation
  35. is unacceptable.
  36.  
  37. No diffs yet, since I am working on a different program but the
  38. appropriate lines from my program could replace those in adduser
  39. to fix the problem when I am done.
  40. ------- end -------
  41.  
  42.