发布日期：2009-06-23
更新日期：2009-06-24

受影响系统：

NetBSD NetBSD 5.0
NetBSD NetBSD 4.0.1
NetBSD NetBSD 4.0

描述：

---

BUGTRAQ  ID: 35465
CVE(CAN) ID: CVE-2009-2482

NetBSD是一款免费开放源代码的UNIX性质的操作系统。

NetBSD所提供的pam_unix认证模块没有正确地验证执行口令更改的用户，通过认证的非特权用户如果知道了旧的root口令就可以更改该口令。通常认证为root仅限于被称为wheel组的成员，以限制泄露root口令所造成的影响。因此，能够更改root口令应仅限于认证为root的用户。

<*来源：Thomas Getzke
  
  链接：http://secunia.com/advisories/35553/
        ftp://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2009-004.txt.asc
*>

建议：

---

临时解决方法：

* 在/etc/pam.d/system的pam_unix之前添加以下行：

password    prerequisite    pam_group.so    no_warn group=wheel fail_safe

厂商补丁：

NetBSD
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.netbsd.org/Security/

浏览次数：2663
严重程度：0（网友投票）