W ramach projektu Moduł PAM, który pozwala na podłączenie modułów uwierzytelniających w Pythonie, (), dając Ci możliwość zwiększenia Twoich uprawnień w systemie. Podczas korzystania z podatnej na ataki wersji pam-python (domyślnie nie instalowanej) użytkownik lokalny może uzyskać dostęp do konta root poprzez ze zmiennymi środowiskowymi obsługiwanymi domyślnie przez Pythona (na przykład możesz wyzwolić zapisywanie pliku kodu bajtowego w celu nadpisania plików systemowych).
Luka występuje w najnowszej stabilnej wersji 1.0.6, oferowanej od sierpnia 2016 roku. Problem został zidentyfikowany podczas audytu modułu PAM pam-python przeprowadzonego przez programistów z zespołu i zostało już naprawione w aktualizacji . Możesz śledzić status aktualizacji pakietów pam-python na następujących stronach: , , . W Fedorze i module RHEL .
Źródło: opennet.ru