PAM-PKCS#11 登录模块是一款在 Linux 系统上被广泛用于基于 X.509 证书的用户登录工具，现已发现它存在多个严重的安全漏洞。这些漏洞可能会让攻击者绕过身份验证机制，未经授权地访问系统，甚至有可能提升权限。

已识别出的漏洞编号为 CVE-2025-24032、CVE-2025-24531 和 CVE-2025-24031，它们的通用漏洞评分系统（CVSS）评分分别为 9.2、9.4 和 5.1，这表明其严重程度很高。

CVE-2025-24032：利用 cert_policy 默认值绕过身份验证

该漏洞源于 cert_policy 参数的默认设置，其默认值被设为 “none”（无）。这一设置使得攻击者能够使用用户的公开数据和已知的个人识别码（PIN）创建一个恶意令牌，绕过私钥签名检查，进而获取系统访问权限。

CVE-2025-24531：在错误情况下绕过身份验证

这个漏洞使攻击者能够在某些错误情况下绕过身份验证，尤其是在使用智能卡或类似设备进行登录时。该漏洞是由 PAM-PKCS#11 0.6.12 版本的一个变更引起的，在该版本中，错误条件下的默认返回码被改为了 PAM_IGNORE（忽略）。这就使得攻击者可以利用错误条件来获取未经授权的访问权限。

CVE-2025-24031：在要求输入 PIN 时按下 Ctrl-C/Ctrl-D 导致段错误

当用户在输入 PIN 提示过程中按下 Ctrl-C 或 Ctrl-D 时，此漏洞会导致 PAM-PKCS#11 模块崩溃。虽然这个漏洞可能不会直接导致权限提升，但它可被用于破坏服务，或者有可能造成拒绝服务的情况。

建议

强烈建议使用 PAM-PKCS#11 的用户将其系统更新到最新的已打补丁版本。PAM-PKCS#11 的维护者已经发布了针对这些漏洞的修复程序，用户应尽快应用这些补丁，以降低漏洞被利用的风险。

除了打补丁之外，用户还可以考虑实施额外的安全措施，比如启用多因素身份验证，以及限制对敏感系统的访问。