CVE-2026-47271

Nome do Software Vulnerável e Versões Afetadas pam usb versões anteriores a 0.9.0

Descrição Em src/mem.c, proteções contra falta de memória para as funções xmalloc(), xrealloc() e xstrdup() foram implementadas usando assert(data != NULL). Como as expressões assert() são removidas durante a compilação quando NDEBUG é definido no momento da construção—uma prática comum em builds de lançamento e empacotamento para Debian, Fedora e Arch—essas proteções são eliminadas em tais versões. Consequentemente, essas funções retornam NULL em caso de falha de alocação, que é então desreferenciado sem verificação, resultando em uma desreferência de ponteiro NULL e no travamento do módulo PAM. Isso cria uma condição de negação de serviço local, na qual um invasor que induza pressão de memória durante a autenticação pode bloquear todos os usuários do sudo e login.

Recomendações Atualize para a versão 0.9.0.