In Solaris 9 4/04 sono presenti i seguenti bug relativi alla sicurezza.
Se si sblocca una sessione bloccata del CDE, le credenziali di Kerberos Versione 5 (krb5) memorizzate nella cache possono venire rimosse. Si perde quindi la possibilità di accedere a varie utility di sistema. Il problema si verifica nelle seguenti condizioni:
Nel file /etc/pam.conf, i servizi dtsession del sistema sono configurati per usare automaticamente il modulo krb5.
La sessione del CDE viene bloccata e quindi si cerca di sbloccarla.
Se si verifica questo problema, viene visualizzato il seguente messaggio di errore:
lock screen: PAM-KRB5 (auth): Errore nella verifica del TGT con l'host/nome-host: Autorizzazione negata nel codice della cache replicata |
Soluzione: aggiungere le seguenti voci di dtsession non associate al modulo pam_krb5 al file /etc/pam.conf.
dtsession auth requisite pam_authtok_get.so.1 dtsession auth required pam_unix_auth.so.1 |
Con queste voci nel file /etc/pam.conf, il modulo pam_krb5 non viene eseguito automaticamente.
In Solaris 9 4/04, gli account bloccati vengono trattati come scaduti o inesistenti. Di conseguenza, le utility cron, at e batch non possono pianificare operazioni per questi account.
Soluzione: per abilitare la pianificazione delle attività per gli account bloccati con le utility cron, at o batch, sostituire il campo della password dell'account bloccato (*LK*) con la stringa NP (che equivale a “nessuna password”.)