לאקאלע וואָרצל וואַלנעראַביליטי אין פּאַם-פּיטהאָן

אין די צוגעשטעלט דורך די פּרויעקט פּאַם-פּיטהאָן PAM מאָדולע, וואָס אַלאַוז איר צו פאַרבינדן אָטענטאַקיישאַן מאַדזשולז אין פּיטהאָן, יידענאַפייד וואַלנעראַביליטי (CVE-2019-16729), געבן איר די געלעגנהייט צו פאַרגרעסערן דיין פּריווילאַדזשאַז אין די סיסטעם. ווען ניצן אַ שפּירעוודיק ווערסיע פון ​​pam-python (ניט אינסטאַלירן דורך פעליקייַט), אַ היגע באַניצער קענען באַקומען וואָרצל אַקסעס דורך מאַניפּיאַליישאַנז מיט ינווייראַנמענאַל וועריאַבאַלז כאַנדאַלד דורך Python דורך פעליקייַט (פֿאַר בייַשפּיל, איר קענען צינגל אַ ראַטעווען פון אַ ביטעקאָדע טעקע צו אָווועררייט סיסטעם טעקעס).

די וואַלנעראַביליטי איז פאָרשטעלן אין די לעצטע סטאַביל מעלדונג 1.0.6, געפֿינט זינט אויגוסט 2016. דער פּראָבלעם איז געווען יידענאַפייד בעשאַס אַ קאָנטראָלירן פון די פּאַם-פּיטהאָן PAM מאָדולע געפירט דורך דעוועלאָפּערס פון די מאַנשאַפֿט openSUSE זיכערהייט מאַנשאַפֿט, און איז שוין פאַרפעסטיקט אין די דערהייַנטיקן 1.0.7. איר קענען שפּור די דערהייַנטיקן סטאַטוס פון pam-python פּאַקאַדזשאַז אויף די פאלגענדע בלעטער: דעביאַן, ובונטו, SUSE/openSUSE. אין פעדאָראַ און RHEL מאָדולע ניט צוגעשטעלט.

מקור: opennet.ru