Précisions sur les configurations vulnérables de PAM

À cause d'un bogue présent entre les versions 1.0.1-6 et 1.0.1-9, l'utilitaire pam-auth-update inclus dans le paquet libpam-runtime de Debian testing et unstable rendait possible d'avoir un système configuré par inadvertance en permettant l'accès sans mot de passe correct (#519927). Bien que la majorité des utilisateurs n'auront pas été affectés par ce bogue, ceux qui le sont devraient considérer leurs machines compromises, en particulier si ces machines sont configurées pour permettre un accès depuis Internet.

À partir de la version 1.0.1-10, publiée le 7 juillet 2010, libpam-runtime ne permet plus cette configuration incorrecte, et détectera lors de la mise à niveau si le système a été affecté par ce bogue.

Si un message apparaît lors de la mise à niveau vous envoyant sur cette page, vous devriez considérer que votre système a été compromis. À moins d'être familier avec les récupérations suite aux failles de sécurité, virus et logiciels malveillants, vous devriez réinstaller le système depuis le début ou obtenir les services d'un administrateur système compétant. Le Manuel de sécurisation de Debian contient des renseignements sur la façon de récupérer un système compromis.

Le projet Debian présente ses excuses pour les versions précédentes de libpam-runtime qui ne permettaient pas de détecter ni d'empêcher cette situation.