URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 135796
[ Назад ]
Исходное сообщение
"Уязвимость в pam-u2f, позволяющая обойти аутентификацию на базе аппаратного токена"
Отправлено opennews , 17-Янв-25 16:32
Разработчики проекта openSUSE выявили уязвимость (CVE-2025-23013) в PAM-модуле pam-u2f, применяемом при аутентификации через токены YubiKey,...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62575
Содержание
- Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б...,Аноним, 16:32 , 17-Янв-25
- Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б...,Аноним, 16:45 , 17-Янв-25
- Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б...,нах., 16:50 , 17-Янв-25
- Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б...,Аноним, 10:17 , 18-Янв-25
- Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б...,нах., 10:54 , 18-Янв-25
- Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б...,Аноним, 14:37 , 18-Янв-25
- Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б...,нах., 14:45 , 18-Янв-25
- Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б...,ryoken, 18:31 , 18-Янв-25
- Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б...,Аноним, 19:57 , 17-Янв-25
- Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б...,Аноним, 16:50 , 17-Янв-25
- Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б...,нах., 16:55 , 17-Янв-25
- Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б...,Ivan_83, 16:56 , 17-Янв-25
- Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б...,нах., 18:48 , 17-Янв-25
- Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б...,Аноним, 17:18 , 17-Янв-25
- Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б...,Аноним, 14:38 , 18-Янв-25
Сообщения в этом обсуждении
"Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."
Отправлено Аноним , 17-Янв-25 16:32
Не опасно, можно не напрягаться.
"Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."
Отправлено Аноним , 17-Янв-25 16:45
Отверстием могут воспользоваться только те чьё это отверстие.
"Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."
Отправлено нах. , 17-Янв-25 16:50
нет, любой кто подсмотрел твой пароль.Именно для предотвращения подобных атак мы и используем токен.
"Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."
Отправлено Аноним , 18-Янв-25 10:17
вы это жертвы маркетинга? не надоело раз в полгода 50 баксов выбрасывать из-за очередной уязвимости в usb-свистке?
"Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."
Отправлено нах. , 18-Янв-25 10:54
> вы это жертвы маркетинга? не надоело раз в полгода 50 баксов выбрасывать
> из-за очередной уязвимости в usb-свистке?в usb-свистке, внезапно, никаких явных уязвимостей - пока не находили.
(он там by design кривой, но, к сожалению, пластмассово-пластилиновый мир никак не может осилить нормально сделать - там, откуда они копипастят, нет нормального. И да, лучше уж убиквити чем пароль 21345)
"Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."
Отправлено Аноним , 18-Янв-25 14:37
Все давно известно что бумажка под клавиатурой самое безопасное что придумано на данный момент.
"Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."
Отправлено нах. , 18-Янв-25 14:45
какое нах?! Ты бы знал, сколько я их прое...То сквозняком сдует (и даже если найти потом - поди пойми где она лежала и от чего это), то винищем зальешь, то пылесосом всосет вместе с шерстью... тухлый номер, короч.
Идея из далеких времен когда компьютеры были большие и одного пароля от всего хватало. (И этому...эксперту с кошельком передайте, что в кошелек столько тоже не влезет)
Пишу строительным маркером прям на рамке монитора. Так - надежно. И перепутать мониторы постараться надо.
"Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."
Отправлено ryoken , 18-Янв-25 18:31
>>то винищем зальешьДа вы батенька, сизый нос.. :)
"Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."
Отправлено Аноним , 17-Янв-25 19:57
Это смотря в какой компании окажешься ;)
"Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."
Отправлено Аноним , 17-Янв-25 16:50
Хм... я правильно понимаю, что, судя по коммиту
debug_dbg(cfg, "Unable to allocate memory");
+ retval = PAM_BUF_ERR;
goto done;
они тупо игнорили ситуацию "не смог аллоцировать память" ?
"Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."
Отправлено нах. , 17-Янв-25 16:55
не игнорили, просто возвращали код "нишмагла" не уточняя почему. Им показалось - логично, это ведь не ошибка проверки токена, этодругое. А там в конфиге "suffucient" вместо required (потому что иначе без 2fa вообще не залогинишься), и любой модуль этажом выше мог выдать ок.Т.е. ломались именно 2fa, а там где вообще не принято было использовать пароли - все оставалось безопастно.
"Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."
Отправлено Ivan_83 , 17-Янв-25 16:56
> PAM_IGNORE. Данное значение возвращается в случае ошибки выполнения вызовов gethostname()эээ это же достаточно сеть не надолго отключить.
Зачётно.
"Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."
Отправлено нах. , 17-Янв-25 18:48
>> PAM_IGNORE. Данное значение возвращается в случае ошибки выполнения вызовов gethostname()
> эээ это же достаточно сеть не надолго отключить.да, мне тоже лень в код лазить, но ощущение подсказывает что должно сработать.
где, где супергерои из nixos, которые заявят что вот у них-то все супернадежно?!
> Зачётно.
ну, в принципе, нехватку памяти устроить тоже не надо сверхспособностей.
"Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."
Отправлено Аноним , 17-Янв-25 17:18
> Уязвимость позволяет пользователю, имеющему непривилегированный локальный доступ к системе,
> в определённых конфигурациях PAM пройти аутентификацию без вставки аппаратного токенаНа третий день Зоркий Глаз заметил что втыкать токен для аутентификации было не обязательно :))
"Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."
Отправлено Аноним , 18-Янв-25 14:38
Зоркий глаз заметил, но пипл всё равно продолжает хавать.