Nel progetto fornito modulo PAM che consente di integrare moduli di autenticazione in Python, (), permettendo di elevare i propri privilegi nel sistema. Utilizzando una versione vulnerabile di pam-python (non installata per impostazione predefinita), un utente locale può ottenere accesso come root, manipulando di ambiente predefinite elaborate in Python (ad esempio, è possibile avviare il salvataggio di un file di bytecode per sovrascrivere file di sistema).
La vulnerabilità è presente nell'ultima versione stabile 1.0.6, proposta da agosto 2016. Il problema è stato identificato durante un audit del modulo PAM pam-python, condotto dagli sviluppatori del , ed è già stata corretta in un aggiornamento . Lo stato degli aggiornamenti dei pacchetti con pam-python può essere tracciato alle seguenti pagine: , , . Nel Fedora e RHEL il modulo .
Fonte: opennet.ru
