漏洞信息详情
pam_ssh空密码短语绕过认证限制漏洞
- CNNVD编号:CNNVD-200702-175
- 危害等级: 中危
- CVE编号: CVE-2007-0844
- 漏洞类型: 设计错误
- 发布时间: 2007-02-08
- 威胁类型: 远程
- 更新时间: 2007-02-09
- 厂 商: pam_ssh
- 漏洞来源: Rob Henderson
漏洞简介
pam_ssh是结合SSH密钥和SSH客户端使用的PAM模块,允许使用SSH密钥为UNIX提供登录服务。 pam_ssh的实现上存在漏洞,远程攻击者可能利用此漏洞获取非授权访问。 如果禁用了allow_blank_passphrase选项的话,pam_ssh的pam_ssh.c文件中的auth_via_key函数会无法正确地限制同空密码短语使用私钥。在提示输入密码短语时用户可以输入随机的非空短语绕过认证限制而使用空密码短语私钥。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接: http://downloads.sourceforge.net/pam-ssh/pam_ssh-1.92.tar.bz2?modtime=1170770902&big_mirror=0
参考网址
来源: VUPEN 名称: ADV-2007-0524 链接:http://www.frsirt.com/english/advisories/2007/0524 来源: sourceforge.net 链接:http://sourceforge.net/project/shownotes.php?release_id=484376 来源: SECUNIA 名称: 24061 链接:http://secunia.com/advisories/24061 来源: OSVDB 名称: 33119 链接:http://osvdb.org/33119 来源: BID 名称: 22461 链接:http://www.securityfocus.com/bid/22461
受影响实体
- Pam_ssh Pam_ssh:1.91
补丁
暂无
评论