Steve Rigler さんにより、LDAP サーバに対する認証用の PAM モジュールが、PasswordPolicyReponse コントロールメッセージの処理を誤っていることが発見されました。 この問題により、停止されているシステムアカウントに攻撃者がログインすることが可能です。
安定版ディストリビューション (stable、コードネーム sarge) では、この問題はバージョン 178-1sarge3 で修正されています。 セキュリティ関連の buildd 環境に関する技術的問題のため、今回の更新では Sun Sparc アーキテクチャ向けのビルドが不足していますが、 問題が解決された時点でリリースされる予定です。
不安定版ディストリビューション (unstable、コードネーム sid) では、この問題はバージョン 180-1.2 で修正されています。
libpam-ldap パッケージのアップグレードをお勧めします。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。