Defectos de seguridad

Al desbloquear la pantalla de seguridad CDE se eliminan las credenciales Kerberos versión 5 (4674474)

Si se desbloquea una sesión CDE, todas las credenciales de Kerberos versión 5 (krb5) que estuvieran almacenadas en caché podrían eliminarse y es posible que no se pueda acceder a varias utilidades del sistema. Este problema se produce en las condiciones siguientes.

• En el archivo /etc/pam.conf, los servicios dtsession para el sistema están configurados para usar el módulo krb5 de manera predeterminada.

• Se bloquea la sesión CDE y después se intenta desbloquearla.

Si este problema se produce, aparecerá el mensaje de error siguiente.

lock screen: PAM-KRB5 (auth): Error verifying TGT with host/nombre-sistema:
Permission denied in replay cache code

Solución alternativa: agregue las entradas para dtsession que no son de pam_krb5 al archivo /etc/pam.conf.

dtsession auth requisite pam_authtok_get.so.1
dtsession auth required  pam_unix_auth.so.1

Con estas entradas en el archivo /etc/pam.conf, el módulo pam_krb5 no se ejecuta de forma predeterminada.

El daemon servidor de agenda de CDE podría quedarse sin descriptores de archivos (4641721)

El daemon de servidor de agenda de CDE (rpc.cmsd) podría quedarse sin descriptores de archivos. Si este problema se produce, los usuarios pueden ver la agenda, pero no se puede agregar citas nuevas. Se mostrará un mensaje Unknown Error.

Solución alternativa: elija una de las soluciones alternativas siguientes:

• Si este problema se produce, siga estos pasos.

  1. Conviértase en usuario root en el servidor de agenda.

  2. Finalice el daemon servidor de agenda.

     # pkill rpc.cmsd

     ---

     Nota -

     El servicio rpc.cmsd está habilitado de manera predeterminada en el archivo /etc/inetd.conf y no es necesario reiniciarlo. Si el servicio rpc.cmsd está inhabilitado en el servidor de agenda, es necesario reiniciar el daemon rpc.cmsd después de haberlo finalizado.

     ---

• Para evitar este problema, aplique la modificación ID 112617-01.

  ---

  Nota -

  Consulte la sede web SunSolve^SM en la dirección http://sunsolve.sun.com para obtener modificaciones de versiones anteriores del sistema operativo Solaris.

  ---

La funcionalidad de ejecución automática de soportes extraíbles de CDE se ha eliminado en el sistema operativo Solaris 9 (4483353)

La funcionalidad de ejecución automática de soportes extraíbles del entorno de escritorio CDE se ha eliminado temporalmente del sistema operativo Solaris 9 para reducir problemas potenciales de seguridad.

Para usar esta funcionalidad en un CD-ROM u otro volumen de soporte extraíble, es necesario hacer una de estas cosas:

• Ejecute el programa volstart desde el nivel superior del sistema de archivos de los soportes extraíbles

• Siga las instrucciones que se incluyen en el CD para acceder desde fuera del CDE

Para obtener la información más reciente sobre cuestiones y modificaciones de seguridad, compruebe la sede web de SunSolve en http://sunsolve.sun.com. Todas las modificaciones de seguridad están disponibles desde la sede de SunSolve sin contrato de soporte.

Los comandos cron, at y batch no pueden programar trabajos para cuentas bloqueadas (4622431)

En el sistema operativo Solaris 9, las cuentas bloqueadas se tratan de la misma forma que las caducadas o las no existentes. Como resultado, las utilidades cron, at y batch no pueden programar trabajos en cuentas bloqueadas.

Solución alternativa: para habilitar que las cuentas bloqueadas acepten trabajos de cron, at o batch, substituya el campo de contraseña de una de éstas cuentas bloqueadas (*LK*) por la cadena NP (que significa "sin contraseña").