Sérfræðingar frá Qualys Labs hafa uppgötvað nokkur öryggisvandamál sem tengjast getu til að blekkja forrit sem bera ábyrgð á lykilorðathugunaraðferðum sem notuð eru í BSD (samlíkt PAM). Trikkið er að gefa notendanafnið "-challenge" eða "-schallenge:passwd", sem er þá ekki túlkað sem notendanafn, heldur sem valmöguleika. Eftir þetta samþykkir kerfið hvaða lykilorð sem er. Viðkvæm, þ.e. Þess vegna er óviðkomandi aðgangur leyfður af þjónustunum smtpd, ldapd, radiusd. Ekki er hægt að nýta sshd þjónustuna þar sem sshd tekur eftir því að notandinn „-challenge“ er ekki til í raun og veru. Su forritið hrynur þegar það reynir að nýta það, því það reynir líka að finna út uid notanda sem ekki er til.
Ýmsir veikleikar voru einnig upplýstir í xlock, í heimild í gegnum S/Key og Yubikey, sem og í su, sem tengjast ekki því að tilgreina „-challenge“ notandann. Varnarleysi í xlock gerir venjulegum notanda kleift að auka réttindi til heimildarhópsins. Það er hægt að auka réttindi frá heimildarhópnum til rótarnotandans með rangri notkun á S/Key og Yubikey heimildaraðferðum, en þetta virkar ekki í sjálfgefna OpenBSD uppsetningu vegna þess að S/Key og Yubikey heimild eru óvirk. Að lokum gerir varnarleysi í su notandanum kleift að auka takmarkanir á kerfisauðlindum, svo sem fjölda opinna skráarlýsinga.
Í augnablikinu hefur veikleikarnir verið lagaðir, öryggisuppfærslur eru fáanlegar í gegnum venjulegu syspatch(8) vélbúnaðinn.
Heimild: linux.org.ru