Tietoa PAM-asetuksen haavoittuvuudesta

Debianin testattavan ja epävakaan jakelun libpam-runtime-paketin (versiosta 1.0.1-6 versioon 1.0.1-9) sisältämä pam-auth-update-työkalu sisältää vian, jonka seurauksena järjestelmät on mahdollisesti epähuomiossa asetettu sallimaan pääsy koneelle salasanalla tai ilman oikeaa salasanaa (vika #519927). Tämä ongelma ei kuitenkaan koske valtaosaa käyttäjistä. Niiden, joita kyseinen ongelma koskee, on aihetta olettaa että heidän koneisiinsa on murtauduttu, varsinkin jos kyseiset koneet on määritelty sallimaan kirjautumisen Internetistä.

Versiosta 1.0.1-10 alkaen libpam-runtime ei enää salli tällaista virheellistä asetusta, ja havaitsee päivityksen yhteydessä onko järjestelmä altis tälle haavoittuvuudelle.

Jos päivityksen yhteydessä näytetään tälle sivulle ohjaava viesti, on syytä olettaa että järjestelmääsi on murtauduttu. Mikäli et hallitse tietoturvaongelmaisen, virustartunnan saaneen ja pahantahtoisia ohjelmia sisältävän järjestelmän palautusta, on suositeltavaa suorittaa täydellinen järjestelmän uudelleenasennus tai hankkia vastaavat palvelut osaavalta järjestelmäylläpitäjältä. Securing-debian-howto sisältää tietoa murretun järjestelmän palautuksesta.

Debian-projekti pahoittelee etteivät libpam-runtime-paketin aiemmat versiot havainneet ja estäneet tätä tilannetta.