Scientific Linux セキュリティ更新：SL4.x i386/x86_64 の pam

medium Nessus プラグイン ID 60308

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

pam_console が特定のコンソールデバイスの権限を設定する方法で欠陥が見つかりました。さまざまなコンソールデバイスが、ログアウト後にコンソールユーザーの所有権を保持し、別のローカルユーザーに情報を漏洩する可能性がありました。（CVE-2007-1716）

PAM ライブラリがアカウント名を監査サブシステムに書き込む方法で、欠陥が見つかりました。攻撃者が、監査メッセージの一部が含まれる文字列を注入し、これにより監査ログ解析ツールが錯乱または混乱する可能性があります。（CVE-2007-3102）

これらの更新済みパッケージでは、次のバグも修正しています。

- X11 認証クッキーのコピーのために使用される pam_xauth モジュールは、特定の状況で「XAUTHORITY」変数をリセットしませんでした。これにより、su コマンドの使用時に不要な遅延が発生します。

- 「difok=x」（「x」は変更に必要な文字数）が「/etc/pam.d/system-auth」で構成されいるとき、パスワードの類似性の計算時、pam_cracklib はパスワードの最後の文字に対する変更を破棄していました。これにより、正常に機能するはずであったパスワードが変更されて機能せず、以下のエラーが表示されます：

BAD PASSWORD: is too similar to the old one（無効なパスワード：以前のパスワードと類似し過ぎています）

この問題は、これらの更新済みパッケージで解決されています。

- ユーザーセッションに対するシステムリソース制限のセットアップを提供する pam_limits モジュールは、「/etc/security/limits.conf」構成ファイルに構成されていない場合、ユーザーセッションの nice 優先度を「0」にリセットしていました。

これらの更新済みパッケージは、次の拡張機能を追加します：

- 新しい PAM モジュールである pam_tally2。ログイン試行が最大数まで失敗した後のアカウントのロックを可能にします。