Bonjour à tous, Voici la dsa sur pam. Merci de vos relectures, Thomas.
Paul Aurich et Samuele Giovanni Tonon ont découvert une sérieuse violation de sécurité dans PAM. Les mots de passe désactivés (c'est-à-dire ceux qui ont '*' dans le fichier de mots de passe) étaient classés comme mot de passe vide et donc on peut accéder avec ces comptes à n'importe quelle procédure d'identification (getty, telnet, ssh). Ceci fonctionne pour tous les comptes dont le champ shell dans le fichier de mots de passe ne réfère pas à /bin/false. Seule, la version 0.76 de PAM est affectée de ce problème.
Ce problème est réglé dans la version 0.76-6 pour l'actuelle distribution instable (Sid). La distribution stable (Woody), l'ancienne distribution stable (Potato) et la distribution en développement (Sarge) ne sont pas affectées.
Comme il est stipulé dans la FAQ de l'équipe Debian de sécurité, les versions testing et unstable sont soumises à de rapides changements et l'équipe de sécurité n'a pas les ressources pour les maintenir. Cette annonce de sécurité est une exception à cette règle du fait de la gravité de la faille.
Nous vous recommandons de mettre à jour vos paquets PAM immédiatement si vous utilisez Debian/unstable.