Details der verwundbaren Konfiguration von PAM

Das pam-auth-update-Werkzeug, das in dem Paket libpam-runtime der Debian Testing- und Unstable-Distribution enthalten war, wies zwischen den Versionen 1.0.1-6 und 1.0.1-9 einen Fehler auf, durch den Systeme unbeabsichtigt so eingerichtet werden konnten, dass Zugriffe mit oder ohne einem richtigen Passwort erlaubt wurden (#519927). Obwohl die Mehrzahl der Benutzer von diesem Fehler nicht betroffen sein dürften, sollten diejenigen, die betroffen sind, ihre Rechner als kompromittiert betrachten, insbesondere, wenn diese Rechner so eingerichtet sind, dass sie Zugriffe aus dem Internet erlauben.

Seit Version 1.0.1-10, die am 7. August 2009 veröffentlicht wurde, erlaubt libpam-runtime diese fehlerhafte Konfiguration nicht mehr und überprüft beim Upgrade, ob Ihr System durch diesen Fehler betroffen war.

Wenn Sie beim Upgrade eine Nachricht gesehen haben, die Sie zu dieser Webseite geführt hat, sollten Sie davon ausgehen, dass Ihr Rechner kompromittiert wurde. Falls Sie im Umgang mit Sicherheitslücken, Viren und bösartiger Software keine Erfahrung haben, sollten Sie dieses System vollständig neu installieren oder die Dienste eines sachverständigen System-Administrators in Anspruch nehmen. Die Anleitung zum Absichern von Debian beinhaltet Informationen über das Wiederherstellen eines Systems nach einer Kompromittierung.

Das Debian-Projekt bittet um Entschuldigung, dass frühere Versionen von libpam-runtime diese Situation nicht entdeckt und verhindert haben.