PAM の脆弱な設定についての詳細

Debian testing および unstable に収録されている libpam-runtime パッケージに含まれる pam-auth-update ユーティリティのバージョン 1.0.1-6 から 1.0.1-9 までにバグがあり、 そのために正しいパスワードの有無にかかわらずシステムがアクセスを許可するよう、 気づかずに設定されていた可能性があります (#519927)。 大多数のユーザはこのバグの影響を受けませんが、影響を受けるユーザは、 特にインターネットからのアクセスを許可するように設定されていたマシンについては侵害を受けたものと考えるべきです。

2009 年 8 月 7 日にリリースされたバージョン 1.0.1-10 以降の libpam-runtime は正常に設定したときにこれを許可することはなく、 システムがこのバグの影響を受ける場合はアップグレード時に検出します。

アップグレードでこのウェブページに誘導するメッセージが表示された場合は、 システムが侵害を受けたと仮定すべきです。セキュリティ破綻や、ウイルス、 悪意のあるソフトウェアからの復旧についてよく理解していないかぎり、 システムを最初から再インストールするか、 スキルのあるシステム管理者の点検を求めるべきです。debian 安全化マニュアルシステム侵害からの復旧についての情報があります。

Debian プロジェクトは libpam-runtime のもっと前のバージョンでこれを発見することができず、 この状況を回避できなかったことを謝罪します。