Bugs liés à la sécurité

Suppression des justificatifs d'identité Kerberos Version 5 en cas de désactivation du verrouillage d'écran de CDE (4674474)

Si vous déverrouillez une session CDE verrouillée, tous les justificatifs d'identité Kerberos Version 5 (krb5) mis en cache risquent d'être supprimés et vous risquez de ne plus pouvoir accéder à divers utilitaires du système. Ce problème survient si :

• Les services dtsession pour votre système sont configurés de manière à utiliser le module krb5 par défaut dans le fichier /etc/pam.conf.

• Vous verrouillez votre session CDE, puis essayez de la déverrouiller.

Si ce problème survient, le message d'erreur suivant s'affiche :

lock screen: PAM-KRB5 (auth): Error verifying TGT with host/nom_hôte:
Permission denied in replay cache code

Solution : ajoutez les entrées dtsession non-pam_krb5 dans le fichier /etc/pam.conf.

dtsession auth requisite pam_authtok_get.so.1
dtsession auth required  pam_unix_auth.so.1

La présence de ces entrées dans le fichier /etc/pam.conf empêche le module pam_krb5 de s'exécuter par défaut.

Risque de pénurie de descripteurs de fichiers pour le démon du serveur d'agendas de CDE (4641721)

Le démon du serveur d'agendas (rpc.cmsd) risque d'être à court de descripteurs. Si ce problème survient, les utilisateurs d'agendas peuvent visualiser leur agenda, mais pas y ajouter de nouveaux rendez-vous. Un message Unknown Error apparaît.

Solution :il en existe plusieurs ; choisissez l'une d'entre elles.

• Si ce problème survient, procédez comme suit :

  1. Devenez superutilisateur sur le serveur d'agendas.

  2. Arrêtez le démon du serveur d'agendas.

     # pkill rpc.cmsd

     ---

     Remarque :

     Par défaut, le service rpc.cmsd est activé dans le fichier /etc/inetd.conf et n'a pas besoin d'être redémarré. Si le service rpc.cmsd est désactivé sur le serveur d'agendas, vous devez redémarrer le démon rpc.cmsd après avoir arrêté le processus démon.

     ---

• Pour éviter ce problème, appliquez le patch 112617-01.

  ---

  Remarque :

  Pour obtenir des patchs pour les versions précédentes de l'environnement d'exploitation Solaris, visitez le site Web de SunSolve^SM à l'adresse suivante : http://sunsolve.sun.com.

  ---

La fonctionnalité d'exécution automatique du support amovible de CDE a été supprimée à partir de l'environnement d'exploitation Solaris 9 (4483353)

La fonctionnalité d'exécution automatique du support amovible dans l'environnement de bureau CDE a été temporairement retirée des environnements d'exploitation Solaris à partir de la version 9 pour limiter les problèmes de sécurité éventuels.

Pour utiliser la fonctionnalité d'exécution automatique d'un CD ou de tout autre volume de support amovible, vous devez effectuer l'une des opérations suivantes :

• Exécutez le programme volstart depuis le niveau supérieur du système de fichiers du support amovible ;

• Suivez les instructions incluses dans le CD pour accéder depuis un point externe au CDE.

Pour obtenir les informations les plus récentes concernant les problèmes et patchs liés à la sécurité, reportez-vous au site Web de SunSolve à l'adresse suivante : http://sunsolve.sun.com. Tous les patchs de sécurité sont disponibles sur le site SunSolve. Il n'est pas nécessaire de disposer d'un contrat de support.

Impossibilité pour cron, at, et batch de programmer des tâches pour les comptes verrouillés (4622431)

Dans l'environnement d'exploitation Solaris 9, les comptes verrouillés sont traités de la même façon que s'il s'agissait de comptes expirés ou inexistants. Il est donc impossible pour les utilitaires cron, at, et batch de programmer des tâches pour ces comptes.

Solution : pour que les comptes verrouillés puissent accepter des tâches cron, at, ou batch, remplacez le contenu du champ mot de passe de l'un de ces comptes (*LK*) par la chaîne NP (aucun mot de passe).