Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Linux-PAM 在 1.7.2 modules/pam_userdb/pam_userdb.c 中 pam_userdb 模块的明文密码比较路径中包含可观察到的时间性差异 （CWE-208），允许本地或网络邻近攻击者通过调用服务重复驱动认证，从而通过测量响应时序差异恢复目标帐户的明文密码。比较使用 strncmp（）（或设置了 PAM_ICASE_ARG 时的 strncasecmp（））并进行长度相等性检查，因此拒绝候选编码的时间取决于首个不同字节的索引以及候选编码的长度是否与存储的密码匹配，从而泄露密码长度和各个前缀字节。当管理员使用 crypt=none、使用无法识别的 crypt 方法或不使用 crypt= 参数配置pam_userdb时，到达有漏洞的路径，从而导致模块以明文方式存储和比较凭据。
    (CVE-2026-54411)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

检测

Linux Distros 未修补的漏洞：CVE-2026-54411

high Nessus 插件 ID 321158

版本 1.4