CentOS 4：pam (CESA-2007:0737)

medium Nessus 插件 ID 67055

语言：

简介

远程 CentOS 主机缺少一个或多个安全更新。

描述

更新后的 pam 程序包修复了两个安全缺陷、解决了两个缺陷并添加了一项增强，现在可用于 Red Hat Enterprise Linux 4。

Red Hat 安全响应团队将此更新评级为具有中等安全影响。

可插拔认证模块 (PAM) 为系统提供以下功能：管理员不必重新编译用于处理认证的程序即可设置认证策略系统。

在 pam_console 设置控制台设备权限的方式中发现一个缺陷。各个控制台设备在注销后可保留控制台用户的所有权，从而可能会将信息泄漏给其他本地用户。(CVE-2007-1716)

在 PAM 库将帐户名称写入审计子系统的方式中发现一个缺陷。攻击者可注入包含部分审计消息的字符串，从而可能误导或混淆审计日志解析工具。(CVE-2007-3102)

同样，这些更新后的程序包修复了以下缺陷：

* pam_xauth 模块用于复制 X11 认证 cookie，在某些情况下不重置“XAUTHORITY”变量，在使用 su 命令时会导致不必要的延迟。

* 在计算密码相似性时，pam_cracklib 在“/etc/pam.d/system-auth”中配置了“difok=x”（其中“x”是需要变更的字符数）时会忽视密码中最后一个字符的变更。这导致本应成功的密码变更失败，并出现以下错误：

BAD PASSWORD：与旧密码太相似

此问题已在这些更新后的程序包中得到解决。

* pam_limits 模块为用户会话提供设置系统资源限制，如果用户会话的 nice 优先级未在“/etc/security/limits.conf”配置文件中另外配置，会将其重置为“0”。

这些更新后的程序包添加了以下增强：

* 新 PAM 模块 pam_tally2 允许帐户在失败的登录尝试次数达到最大值后锁定。

所有 PAM 用户应升级这些更新后的程序包，其中解决了这些问题并添加了此增强。