OpenBSD多个严峻认证绕过破绽 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

OpenBSD多个严峻认证绕过破绽

申博_安全预警 申博 71次浏览 已收录 0个评论

OpenBSD是内置平安的开源操纵体系。近期Qualys平安研究人员在OpenBSD中发现了多个高危平安破绽,CVE编号为CVE-2019-19521,CVE-2019-19520,CVE-2019-19522,CVE-2019-19519。这4个破绽分别是认证绕过和当地权限提拔破绽。

CVE-2019-19521

CVE-2019-19521是一个认证绕过破绽。该破绽位于OpenBSD认证框架处置惩罚用户经由历程smtpd, ldapd, radiusd, su, 或sshd效劳上岸时供应的用户名的体式格局中。

长途攻击者应用该破绽能够胜利接见恣意有破绽的效劳,只需要在用户名中输入”-schallenge” 或”-schallenge: passwd”,然后输入恣意暗码,就会让OpenBSD将-翻译为命令行选项,而非用户名。

OpenBSD的认证框架会将”-schallenge”翻译为”-s challenge”,这会让体系疏忽challenge协定,终究自动绕过认证历程。

假如攻击者以-option的情势指定了用户名,就能够以一种不测的体式格局影响认证顺序的行动。因为sshd或su的深层防御机制,该破绽只能够在smtpd, ldapd, radiusd效劳中被应用。但攻击者依然能够长途应用该破绽来肯定OpenBSD体系是不是遭到CVE-2019-19521破绽的影响。

当地权限提拔破绽

其他3个破绽,CVE-2019-19520,CVE-2019-19522,CVE-2019-19519都属于当地权限提拔破绽。攻击者应用这3个破绽能够让当地用户或许歹意软件猎取auth组、root及其他权限。

经由过程异步迭代简化Node.js流程

如果我们使用异步迭代,那么使用Node.js流程将更加高效。 异步迭代和异步生成器 异步迭代是用于异步检索数据容器内容的协议,这也意味着当前“任务”可以在检索项目之前被暂停。 异步生成器有助于异步迭代,如下所示,就是一个异步生成器函数: /**
 * @returns an asynchronous iterable
 */
async function* asyncGenerator(asyncIterable) {
  for await (const item of asyncIterable) { // input
    if (···) {
      yield ‘> ‘ + item; // output
    }
  }
} for-await-of循环遍历输入asyncIterable,这个循环在普通的异步函数中也可用。另外,yield将值输入到此生成器返回的异

CVE-2019-19520

该破绽是因为dlopen(), xlock运用的环境供应的途径的误处置惩罚致使的,而这两个函数是OpenBSD默许装置的,许可攻击者提权到auth 组。

CVE-2019-19522

该破绽是因为经由历程S/Key和YubiKey的认证机制中的不当操纵致使的,S/Key和YubiKey并不在默许设置中。有auth组权限的当地攻击者能够猎取root用户的一切权限。

CVE-2019-19519

该破绽是因为su重要函数中的一个逻辑毛病,攻击者应用该破绽经由历程su的-L 选项能够猎取除root外的其他恣意用户的login类。

Qualys研究人员还宣布了Poc破绽应用代码,见 https://www.qualys.com/2019/12/04/cve-2019-19521/authentication-vulnerabilities-openbsd.txt

现在这4个破绽都有响应的补丁,研究人员发起用户运用syspatch机制装置补丁。

本文翻译自:https://thehackernews.com/2019/12/openbsd-authentication-vulnerability.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明OpenBSD多个严峻认证绕过破绽
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址