Scientific Linux 安全更新：SL4.x i386/x86_64 中的 pam

medium Nessus 插件 ID 60308

语言：

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

在 pam_console 设置控制台设备权限的方式中发现一个缺陷。各个控制台设备在注销后可保留控制台用户的所有权，从而可能会将信息泄漏给其他本地用户。(CVE-2007-1716)

在 PAM 库将帐户名称写入审计子系统的方式中发现一个缺陷。攻击者可注入包含部分审计消息的字符串，从而可能误导或混淆审计日志解析工具。(CVE-2007-3102)

同样，这些更新后的程序包修复了以下缺陷：

- pam_xauth 模块用于复制 X11 认证 Cookie，在某些情况下不重置“XAUTHORITY”变量，在使用 su 命令时会导致不必要的延迟。

- 在计算密码相似性时，pam_cracklib 在“/etc/pam.d/system-auth”中配置了“difok=x”（其中“x”是需要变更的字符数）时会忽视密码中最后一个字符的变更。这导致本应成功的密码变更失败，并出现以下错误：

BAD PASSWORD：与旧密码太相似

此问题已在这些更新后的程序包中得到解决。

- pam_limits 模块为用户会话提供设置系统资源限制，如果用户会话的 nice 优先级未在“/etc/security/limits.conf”配置文件中另外配置，会将其重置为“0”。

这些更新后的程序包添加了以下增强：

- 新 PAM 模块 pam_tally2 允许帐户在失败的登录尝试次数达到最大值后锁定。