漏洞信息详情
OATH Toolkit 安全漏洞
- CNNVD编号:CNNVD-201403-157
- 危害等级: 中危
- CVE编号: CVE-2013-7322
- 漏洞类型: 授权问题
- 发布时间: 2014-03-12
- 威胁类型: 远程
- 更新时间: 2014-03-12
- 厂 商: nongnu
- 漏洞来源:
漏洞简介
OATH Toolkit是一套用于开发OATH(开放身份认证规范)相关部署技术的工具集,它通过集成共享库、命令行工具和PAM模块,可生成一次性密码认证系统,且支持基于事件的HOTP和基于时间的TOTP的一次性密码设置。
OATH Toolkit 2.4.1之前版本的liboath中的usersfile.c文件存在安全漏洞,该漏洞源于程序没有正确处理包含无效的one-time-password (OTP)类型的注释行和/etc/users.oath文件中的用户名。当验证OTP时,攻击者可利用该漏洞实施重放攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.nongnu.org/oath-toolkit/NEWS.HTML
参考网址
来源: XF
名称: oath-toolkit-cve20137322-replay(91316)
链接:http://xforce.iss.net/xforce/xfdb/91316
来源: www.nongnu.org
链接:http://www.nongnu.org/oath-toolkit/NEWS.HTML
来源: MLIST
名称: [oss-security] 20140209 Re: oath-toolkit PAM module OTP token invalidation issue
链接:http://seclists.org/oss-sec/2014/q1/296
来源: MLIST
名称: [OATH-Toolkit-help] 20131214 Re: libpam-oath vulnerable to replay of OTP as result of incorrectly parsing comments in users file?
链接:http://lists.nongnu.org/archive/HTML/oath-toolkit-help/2013-12/msg00003.HTML
来源: MLIST
名称: [OATH-Toolkit-help] 20131214 Re: libpam-oath vulnerable to replay of OTP as result of incorrectly parsing comments in users file?
链接:http://lists.nongnu.org/archive/HTML/oath-toolkit-help/2013-12/msg00002.HTML
来源: MLIST
名称: [OATH-Toolkit-help] 20131209 libpam-oath vulnerable to replay of OTP as result of incorrectly parsing comments in users file?
链接:http://lists.nongnu.org/archive/HTML/oath-toolkit-help/2013-12/msg00000.HTML
受影响实体
- Nongnu Oath_toolkit:1.10.2
- Nongnu Oath_toolkit:1.0.0
- Nongnu Oath_toolkit:1.0.1
- Nongnu Oath_toolkit:1.2.0
- Nongnu Oath_toolkit:1.2.2
补丁
- oath-toolkit-2.4.1
评论