Подробности об уязвимой настройке PAM

С версии 1.0.1-6 до 1.0.1-9, утилита pam-auth-update, содержащаяся в пакете libpam-runtime в тестируемом и нестабильном выпусках Debian, содержала ошибку, из-за которой системы могли быть непреднамеренно настроены так, чтобы разрешить доступ с корректным вводом пароля или без него (#519927). Хотя большинство пользователей не было подвержено действию этой ошибки, тем, кто был ей затронут, следует считать свои машины компрометироваными, в особенности если эти машины настроены на разрешение доступа из сети Internet.

Начиная с версии 1.0.1-10, выпущенной 7 августа 2009, libpam-runtime более не разрешает такую некорректную настройку, и при обновлении система обнаружит, была ли ваша система подвержена воздействию этой ошибки.

Если при обновлении вам было показано сообщение со ссылкой, ведущей на эту страницу, вам следует допустить, что ваша система была компрометирована. Если вы не знакомы с тем как восстанавливать систему после проблем с безопасностью, вирусов и злонамеренного программного обеспечения, вам следует переустановить всю систему с нуля или получить услуги опытного системного администратора. Руководство securing-debian-howto содержит информацию о том, как восстанавливать систему после компрометирования.

Проект Debian приносит свои извинения за то, что предыдущие версии пакета libpam-runtime не обнаружили и не предотвратили эту ситуацию.