Defectos de seguridad

Al desactivar el bloqueo de pantalla de CDE se eliminan las credenciales de Kerberos versión 5 (4674474)

Al desbloquear una sesión de CDE, todas sus credenciales de Kerberos versión 5 (krb5) guardadas en la memoria caché pueden quedar eliminadas. En consecuencia, no podrá acceder a varias utilidades del sistema. Este problema tiene lugar en las condiciones siguientes.

• En el archivo /etc/pam.conf los servicios dtsession del sistema están configurados para utilizar de forma predeterminada el módulo krb5.

• Bloquea su sesión de CDE y luego intenta desbloquearla.

Si se presenta este problema, se muestra el mensaje de error siguiente.

lock screen: PAM-KRB5 (auth): Error verifying TGT with host/nombre_sistema:
Permission denied in replay cache code

Solución alternativa: agregue las siguientes entradas de dtsession que no son pam_krb5 al archivo /etc/pam.conf.

dtsession auth requisite pam_authtok_get.so.1
dtsession auth required  pam_unix_auth.so.1

Con estas entradas en el archivo /etc/pam.conf, el modulo pam_krb5 no se ejecuta de forma predeterminada.

Se ha eliminado la función de ejecución automática de los soportes extraíbles de CDE del sistema operativo Solaris 9 9/02 (4483353)

La función de ejecución automática de soportes extraíbles en el escritorio CDE se ha eliminado temporalmente en el sistema operativo Solaris 9 9/02. Con dicha eliminación se pretende mitigar posibles problemas de seguridad.

Para usar la función de ejecución automática de un CD-ROM u otro volumen de soporte extraíble, siga uno de estos métodos:

• Ejecute el programa volstart desde el nivel superior del sistema de archivos de los soportes extraíbles

• Siga las instrucciones que se incluyen en el CD para acceder desde fuera del CDE

Si desea obtener la información más actualizada sobre las cuestiones y modificaciones de seguridad, consulte la sede web de SunSolve en http://sunsolve.sun.com. Todas las modificaciones de seguridad se pueden obtener en la sede SunSolve sin necesidad de un contrato de asistencia.

Los comandos cron, at y batch no pueden programar trabajos en cuentas bloqueadas (4622431)

En el sistema operativo Solaris 9 9/02, las cuentas bloqueadas se tratan igual que las cuentas caducadas o inexistentes. Por tanto, las utilidades cron, at y batch no pueden programar trabajos en las cuentas bloqueadas.

Solución alternativa: para que las cuentas bloqueadas acepten las tareas de cron, at o batch, sustituya el campo de contraseña de una cuenta bloqueada (*LK*) por la cadena NP para que prescinda de la contraseña.