Im bereitgestellten Projekt PAM-Modul, das die Verwendung von Authentifizierungsmodulen in Python ermöglicht, (), das es ermöglicht, seine Privilegien im System zu erhöhen. Bei Verwendung der verwundbaren Version pam-python (die standardmäßig nicht installiert wird) kann ein lokaler Benutzer Root-Rechte erlangen, indem er an den standardmäßig in Python verarbeiteten Umgebungsvariablen (zum Beispiel kann ein Dateispeicher mit Bytecode initiiert werden, um Systemdateien zu überschreiben).
Die Verwundbarkeit ist in der neuesten stabilen Version 1.0.6 vorhanden, die seit August 2016 angeboten wird. Das Problem wurde während eines Audits des PAM-Moduls pam-python durch die Entwickler des , und wurde bereits in einem Update behoben. Der Status der Paketaktualisierungen für pam-python kann auf den folgenden Seiten eingesehen werden: , , . In Fedora und RHEL wird das Modul .
Quelle: opennet.ru
