Ubuntu身分驗證元件Authd存在高風險漏洞,攻擊者有機會發動使用者ID欺騙攻擊
本週Canonical針對Ubuntu發布新版身分驗證管理元件Authd,目的是修補高風險漏洞CVE-2024-9312,若不處理,攻擊者可藉由建立特定名稱的帳號,造成UID衝突並進行冒用
anonical近期針對Ubuntu發布資安公告,揭露高風險漏洞CVE-2024-9312,這項弱點存在於身分驗證管理元件Authd,一旦攻擊者觸發漏洞,就有機會欺騙電腦,並針對特定使用者帳號進行未經授權存取,CVSS風險為7.6分,該公司提供0.3.6版Authd修補。
這項元件的功能,主要是提供雲端身分驗證系統的身分驗證及存取的安全管理,並藉由模組化設計而具備多種身分驗證功能,該元件目前支援存取Entra ID,開發團隊未來也打算支援其他的身分驗證提供者。
究竟這項漏洞發生的原因為何?原因是Authd分配的UID是根據使用者名稱產生的純函數(pure function),再者,則是UID的集合太小,導致無法進行隨機分配。這樣的情況,使得該元件很可能會遭到利用。
攻擊者可在取得本機權限的情況下,使用可能會造成衝突,或是與目標帳號UID符合的使用者名稱,來建立多個使用者帳號,這麼一來,攻擊者就有機會得到與目標用戶相同的存取權限。
【資安新聞-iThome】
Pure Storage修補儲存設備重大漏洞
詳細資訊請參考:https://www.ithome.com.tw/news/165548
沒有留言:
張貼留言