<div>Package: passwd</div><div>Version: 1:4.1.4.2+svn3283-2+squeeze1</div><div>Severity: important</div><div><br></div><div>/sbin/shadowconfig from the passwd package uses "pwck -p" and "grpck -p". On some other systems, the -p flag to these programs says to silently fix problems found in those files.</div>
<div><br></div><div>But the Debian versions do not actually do that. The Debian versions ignore the -p option, and then go ahead and prompt for confirmation before making changes.</div><div><br></div><div>This can be dangerous at install time. If the install image has problems in the group or passwd files (for example, mention of an unknown user in the group file), then when the install calles "shadowconfig on", it will try to read from stdin and the install will hang.</div>
<div><br></div>