Sicherheitsfehler

Durch Aufheben der CDE-Bildschirmsperre werden Kerberos v5-Berechtigungsnachweise entfernt (4674474)

Bei der Wiederfreigabe einer gesperrten CDE-Sitzung können alle im Cache befindlichen Berechtigungsnachweise für Kerberos v5 (krb5) gelöscht werden. Danach ist der Zugriff auf verschiedene Systemdienstprogramme nicht mehr möglich. Dieses Problem tritt unter folgenden Umständen auf:

• In der Datei /etc/pam.conf sind die dtsession-Dienste für das System so konfiguriert, dass sie standardmäßig das Modul krb5 verwenden.

• Sie sperren die CDE-Sitzung und versuchen dann, sie wieder zu entsperren.

Wenn dieses Problem auftritt, wird die folgende Fehlermeldung angezeigt:

lock screen: PAM-KRB5 (auth): Error verifying TGT with host/Hostname:
Permission denied in replay cache code

Lösung: Fügen Sie die folgenden pam_krb5-fremden dtsession-Einträge in die Datei /etc/pam.conf ein.

dtsession auth requisite pam_authtok_get.so.1
dtsession auth required  pam_unix_auth.so.1

Wenn die Datei /etc/pam.conf diese Einträge enthält, wird das Modul pam_krb5 nicht standardmäßig ausgeführt.

CDE kann in Solaris 9 9/02 Wechseldatenträger nicht automatisch ausführen (4483353)

Die Fähigkeit, Wechseldatenträger automatisch auszuführen, wurde vorübergehend aus der Desktop-Umgebung CDE für das Betriebssystem Solaris 9 9/02 entfernt. Dadurch sollen potenzielle Sicherheitsprobleme reduziert werden.

Wenn Sie die automatische Ausführung für CDs oder andere Wechseldatenträger verwenden möchten, nehmen Sie einen der folgenden Schritte vor:

• Führen Sie das Programm volstart auf der obersten Ebene des Wechseldatenträger-Dateisystems aus.

• Befolgen Sie die mit der CD gelieferten Anweisungen für den Zugriff von außerhalb der Desktop-Umgebung CDE.

Die aktuellsten Informationen zu Sicherheitsproblemen und Patches entnehmen Sie bitte der SunSolve-Website unter http://sunsolve.sun.com . Sie können alle Sicherheitspatches ohne Support-Vertrag von der SunSolve Site herunterladen.

cron, at und batch können Jobs für gesperrte Konten nicht einplanen (4622431)

Im Betriebssystem Solaris 9 9/02 werden gesperrte Konten genau wie nicht vorhandene Konten oder Konten, deren Gültigkeit abgelaufen ist, behandelt. Folglich können die Dienstprogramme cron, at und batch keine Jobs für gesperrte Konten einplanen.

Lösung: Wenn Sie möchten, dass gesperrte Konten cron-, at- oder batch -Jobs akzeptieren, müssen Sie das Passwortfeld der gesperrten Konten ( *LK*) durch die Zeichenkette NP (für "no password", also kein Passwort) ersetzen.