Uma séria violação de segurança foi descoberta. Senhas desabilitadas
(i.e. aquelas com '*' no arquivo de senhas) são classificadas como senhas
vazias e o acesso a essas contas é garantido através do procedimento normal
de login (getty, telnet, ssh). Isso funciona para todas essas contas em que
o campo shell no arquivo de senhas não se refira a /bin/false.
Somente a versão 0.76 do PAM parece ser afetada por esse problema.
Este problema foi corrigido na versão 0.76-6 para a atual distribuição instável (sid). A distribuição estável (woody), a antiga distribuição estável (potato) e a distribuição testing (sarge) não são afetadas por esse problema.
Como declarado no \FAQ do Time de Segurança do Debian, testing e instável movimentam-se rapidamente e o Time de Segurança não tem os recursos necessários para suportá-las apropriadamente. Este alerta de segurança é uma excessão a essa regra, devido ao fato de ser um problema muito sério.
Nós recomendamos que você atualize seus pacotes PAM imediatamente se você está rodando o Debian/instável.
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.