漏洞信息详情

OATH Toolkit 安全漏洞

• CNNVD编号：CNNVD-201403-157
• 危害等级： 中危
  
• CVE编号： CVE-2013-7322
• 漏洞类型： 授权问题
• 发布时间： 2014-03-12
• 威胁类型： 远程
• 更新时间： 2014-03-12
• 厂        商： nongnu
• 漏洞来源：

漏洞简介

OATH Toolkit是一套用于开发OATH（开放身份认证规范）相关部署技术的工具集，它通过集成共享库、命令行工具和PAM模块，可生成一次性密码认证系统，且支持基于事件的HOTP和基于时间的TOTP的一次性密码设置。

OATH Toolkit 2.4.1之前版本的liboath中的usersfile.c文件存在安全漏洞，该漏洞源于程序没有正确处理包含无效的one-time-password (OTP)类型的注释行和/etc/users.oath文件中的用户名。当验证OTP时，攻击者可利用该漏洞实施重放攻击。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.nongnu.org/oath-toolkit/NEWS.HTML

参考网址

来源: XF

名称: oath-toolkit-cve20137322-replay(91316)

链接:http://xforce.iss.net/xforce/xfdb/91316

来源: www.nongnu.org

链接:http://www.nongnu.org/oath-toolkit/NEWS.HTML

来源: MLIST

名称: [oss-security] 20140209 Re: oath-toolkit PAM module OTP token invalidation issue

链接:http://seclists.org/oss-sec/2014/q1/296

来源: MLIST

名称: [OATH-Toolkit-help] 20131214 Re: libpam-oath vulnerable to replay of OTP as result of incorrectly parsing comments in users file?

链接:http://lists.nongnu.org/archive/HTML/oath-toolkit-help/2013-12/msg00003.HTML

来源: MLIST

名称: [OATH-Toolkit-help] 20131214 Re: libpam-oath vulnerable to replay of OTP as result of incorrectly parsing comments in users file?

链接:http://lists.nongnu.org/archive/HTML/oath-toolkit-help/2013-12/msg00002.HTML

来源: MLIST

名称: [OATH-Toolkit-help] 20131209 libpam-oath vulnerable to replay of OTP as result of incorrectly parsing comments in users file?

链接:http://lists.nongnu.org/archive/HTML/oath-toolkit-help/2013-12/msg00000.HTML

受影响实体

• Nongnu Oath_toolkit:1.10.2  
• Nongnu Oath_toolkit:1.0.0  
• Nongnu Oath_toolkit:1.0.1  
• Nongnu Oath_toolkit:1.2.0  
• Nongnu Oath_toolkit:1.2.2  

补丁

• oath-toolkit-2.4.1