Detaljer angående sårbar PAM-konfigurering

Från version 1.0.1-6 till 1.0.1-9 led verktyget pam-auth-update som ingår i libpam-runtime-paketet i Debian uttestnings- och instabila utgåva av ett fel där system av misstag kunde konfigureras att tillåta åtkomst med eller utan ett korrekt lösenord (#519927). Trots att majoriteten av användarna inte har påverkats av detta fel, bör de som har drabbats utgå från att maskinerna har blivit komprometterade, särskilt om maskinerna är konfigurerade för att tillåta åtkomst från Internet.

Från och med version 1.0.1-10, tillåter libpam-runtime inte längre denna felaktiga konfigurering och vid uppgradering kommer paketet upptäckta huruvida ert system var påverkat av detta fel.

Om ni vid uppgradering visades ett meddelande som sände er hit, bör ni anta att ert system har blivit komprometterat. Om ni inte är bekant med återhämtning från säkerhetsproblem, virus och sårbar mjukvara bör ni ominstallera systemet från början eller inhämta hjälp från en mycket kunnig systemadministratör. Dokumentet securing-debian-howto innehåller information om återhämtning från en systemkompromettering.

Debian-projektet ber om ursäkt för att tidigare versioner av libpam-runtime inte upptäckte och förhindrade denna situation.