Scientific Linux 安全性更新：SL5.x 上的 pam

medium Nessus Plugin ID 60297

語系：

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

問題描述：

在 pam_console 設定主控台裝置權限的方式中發現一個瑕疵。數個主控台裝置可能在登出後取得主控台使用者的擁有權，並可能將資訊洩漏給其他本機使用者。(CVE-2007-1716)

在 PAM 程式庫將帳戶名稱寫入至稽核子系統的方式中發現一個瑕疵。攻擊者可插入包含部分稽核訊息的字串，可能會誤導或混淆稽核記錄剖析工具。(CVE-2007-3102)

這些更新版套件也可修正下列錯誤：

- '/etc/shadow' 中截斷的 MD5 雜湊密碼被視為有效處理，進而導致不安全且無效的密碼。

- pam_namespace 模組並未將內容名稱轉換為原始格式，且在某些情況下未取消掛載多重具現化的目錄。這在 pam_namespace 組態檔 '/etc/security/namespace.conf' 中使用未知使用者名稱時也會遭到損毀。

- pam_selinux 模組並未正確重新標籤控制 tty，且在某些情況下並未傳送有關稽核子系統之使用者角色和層級變更的完整資訊。

這些更新版套件已新增下列增強功能：

- pam_limits 模組現可支援置入 /etc/security/limits.d/ 目錄的額外組態檔剖析。
這些檔案會在主組態檔後讀取。

- 當使用者因登入工作階段數量、使用者來源和登入時間而遭拒無法存取時，模組 pam_limits、pam_access 和 pam_time 現會傳送訊息至稽核子系統。

- pam_unix 模組安全性內容現已改善。
在 setuid 協助程式二進位 unix_chkpwd 中，使用者驗證不需要的功能已移至新的非 setuid 協助程式二進位 unix_update。