Detalles sobre configuración vulnerable de PAM

Entre la versión 1.0.1-6 y la 1.0.1-9, la utilidad pam-auth-update incluida en el paquete libpam-runtime en las distribuciones de Debian en pruebas e inestable tenía un fallo que hacía posible que los sistemas fueran configurados de forma tal que permitían el acceso tanto con la contraseña correcta como sin ella (#519927). Aunque la mayoría de usuarios no habrán sido afectados por este fallo, quienes estén afectados deberían considerar comprometidas sus máquinas, especialmente si están configuradas para permitir el acceso desde Internet.

A partir de la versión 1.0.1-10, publicada el 7 de agosto de 2009, libpam-runtime ya no permite esta configuración incorrecta, y durante la actualización («upgrade») detecta si su sistema estaba afectado por este fallo.

Si durante la actualización ha obtenido un mensaje dirigiéndole a esta página web, debería asumir que su sistema ha sido comprometido. Salvo que esté familiarizado con la recuperación en situaciones de fallos de seguridad, virus y software malicioso debería reinstalar este sistema desde cero o bien hacerse con los servicios de un administrador de sistemas experto. El manual de protección de Debian («securing-debian-howto») incluye información sobre recuperación de un sistema comprometido.

El proyecto Debian pide disculpas por el hecho de que versiones anteriores de libpam-runtime no detectaran y no impidieran que se diera esta situación.