SSSD Kerberos票据更新缓存密码安全绕过漏洞

漏洞起因
设计错误
危险等级

 
影响系统
Red Hat SSSD 1.5.6
Red Hat Fedora 15
Red Hat Fedora 14
 
 
不受影响系统
Red Hat SSSD 1.5.7
 
危害
远程攻击者可以利用漏洞以其他用户通过验证。
 
攻击所需条件
攻击者必须访问SSSD。
 
漏洞信息
系统安全服务守护程序(SSSD)用于在Fedora系统中提供一些安全服务。
当更新kerberos票据启用时(这是1.5.0版本中的新功能)SSSD如何处理缓存密码存在缺陷。由于这个漏洞,缓冲密码可被可预测文件名覆盖,如果在知晓缓存密码的情况下允许用户以其他用户上下文通过验证。
 
测试方法
 
厂商解决方案
Red Hat SSSD 1.5.7已经修复此漏洞,建议用户下载使用:
https://fedoraproject.org/wiki/Features/SSSD
 
漏洞提供者
vendor
 
漏洞消息链接
https://fedorahosted.org/pipermail/sssd-devel/2011-April/006138.html
http://git.fedorahosted.org/git/?p=sssd.git;a=commitdiff;h=fffdae81651b460f3d2c119c56d5caa09b4de42a

发表评论?

0 条评论。

发表评论