In den vom Projekt bereitgestellten PAM-Modul, mit dem Sie Authentifizierungsmodule in Python verbinden können, (), was Ihnen die Möglichkeit gibt, Ihre Privilegien im System zu erweitern. Bei Verwendung einer anfälligen Version von Pam-Python (nicht standardmäßig installiert) kann ein lokaler Benutzer Root-Zugriff erhalten mit Umgebungsvariablen, die standardmäßig von Python verarbeitet werden (Sie können beispielsweise das Speichern einer Bytecode-Datei auslösen, um Systemdateien zu überschreiben).
Die Sicherheitslücke besteht in der neuesten stabilen Version 1.0.6, die seit August 2016 angeboten wird. Das Problem wurde während einer Prüfung des PAM-Moduls pam-python festgestellt, die von Entwicklern des Teams durchgeführt wurde , und wurde bereits im Update behoben . Sie können den Update-Status von Pam-Python-Paketen auf den folgenden Seiten verfolgen: , , . Im Fedora- und RHEL-Modul .
Source: opennet.ru