forum.opennet.ru - "Уязвимость в pam-u2f, позволяющая обойти аутентификацию на базе аппаратного токена" (15)

"Уязвимость в pam-u2f, позволяющая обойти аутентификацию на базе аппаратного токена"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в pam-u2f, позволяющая обойти аутентификацию на базе аппаратного токена"	+/–
Сообщение от opennews (??), 17-Янв-25, 16:32
Разработчики проекта openSUSE выявили уязвимость (CVE-2025-23013) в PAM-модуле pam-u2f, применяемом при аутентификации через токены YubiKey,... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62575
Ответить \| Правка \| Cообщить модератору

Оглавление

Не опасно, можно не напрягаться , Аноним (1), 16:32 , 17-Янв-25, (1)

Отверстием могут воспользоваться только те чьё это отверстие , Аноним (4), 16:45 , 17-Янв-25, (4) –3

нет, любой кто подсмотрел твой пароль Именно для предотвращения подобных атак мы, нах. (?), 16:50 , 17-Янв-25, (8) –1

вы это жертвы маркетинга не надоело раз в полгода 50 баксов выбрасывать из-за о, Аноним (23), 10:17 , 18-Янв-25, (23) +1

в usb-свистке, внезапно, никаких явных уязвимостей - пока не находили он там by, нах. (?), 10:54 , 18-Янв-25, (25) –2

Все давно известно что бумажка под клавиатурой самое безопасное что придумано на, Аноним (4), 14:37 , 18-Янв-25, (26) +1

какое нах Ты бы знал, сколько я их прое То сквозняком сдует и даже если най, нах. (?), 14:45 , 18-Янв-25, (28)

Да вы батенька, сизый нос , ryoken (ok), 18:31 , 18-Янв-25, (29)

Это смотря в какой компании окажешься , Аноним (18), 19:57 , 17-Янв-25, (18)

Хм я правильно понимаю, что, судя по коммиту code debug_dbg cfg, Unable to a, Аноним (-), 16:50 , 17-Янв-25, (7) +2

не игнорили, просто возвращали код нишмагла не уточняя почему Им показалось -, нах. (?), 16:55 , 17-Янв-25, (10) –2

эээ это же достаточно сеть не надолго отключить Зачётно , Ivan_83 (ok), 16:56 , 17-Янв-25, (12) +1

да, мне тоже лень в код лазить, но ощущение подсказывает что должно сработать гд, нах. (?), 18:48 , 17-Янв-25, (17)

На третий день Зоркий Глаз заметил что втыкать токен для аутентификации было не , Аноним (-), 17:18 , 17-Янв-25, (16) +1

Зоркий глаз заметил, но пипл всё равно продолжает хавать , Аноним (4), 14:38 , 18-Янв-25, (27)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 17-Янв-25, 16:32 +/–

Не опасно, можно не напрягаться.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

4. Сообщение от Аноним (4), 17-Янв-25, 16:45 –3 +/–

Отверстием могут воспользоваться только те чьё это отверстие.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #8, #18

7. Сообщение от Аноним (-), 17-Янв-25, 16:50 +2 +/–

Хм... я правильно понимаю, что, судя по коммиту
debug_dbg(cfg, "Unable to allocate memory");
+ retval = PAM_BUF_ERR;
goto done;

они тупо игнорили ситуацию "не смог аллоцировать память" ?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

8. Сообщение от нах. (?), 17-Янв-25, 16:50 –1 +/–

нет, любой кто подсмотрел твой пароль.
Именно для предотвращения подобных атак мы и используем токен.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #23

10. Сообщение от нах. (?), 17-Янв-25, 16:55 –2 +/–

не игнорили, просто возвращали код "нишмагла" не уточняя почему. Им показалось - логично, это ведь не ошибка проверки токена, этодругое. А там в конфиге "suffucient" вместо required (потому что иначе без 2fa вообще не залогинишься), и любой модуль этажом выше мог выдать ок.
Т.е. ломались именно 2fa, а там где вообще не принято было использовать пароли - все оставалось безопастно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

12. Сообщение от Ivan_83 (ok), 17-Янв-25, 16:56 +1 +/–

> PAM_IGNORE. Данное значение возвращается в случае ошибки выполнения вызовов gethostname()
эээ это же достаточно сеть не надолго отключить.
Зачётно.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

16. Сообщение от Аноним (-), 17-Янв-25, 17:18 +1 +/–

> Уязвимость позволяет пользователю, имеющему непривилегированный локальный доступ к системе,
> в определённых конфигурациях PAM пройти аутентификацию без вставки аппаратного токена
На третий день Зоркий Глаз заметил что втыкать токен для аутентификации было не обязательно :))

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

17. Сообщение от нах. (?), 17-Янв-25, 18:48 +/–

>> PAM_IGNORE. Данное значение возвращается в случае ошибки выполнения вызовов gethostname()
> эээ это же достаточно сеть не надолго отключить.
да, мне тоже лень в код лазить, но ощущение подсказывает что должно сработать.
где, где супергерои из nixos, которые заявят что вот у них-то все супернадежно?!
> Зачётно.
ну, в принципе, нехватку памяти устроить тоже не надо сверхспособностей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

18. Сообщение от Аноним (18), 17-Янв-25, 19:57 +/–

Это смотря в какой компании окажешься ;)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

23. Сообщение от Аноним (23), 18-Янв-25, 10:17 +1 +/–

вы это жертвы маркетинга? не надоело раз в полгода 50 баксов выбрасывать из-за очередной уязвимости в usb-свистке?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #25

25. Сообщение от нах. (?), 18-Янв-25, 10:54 –2 +/–

> вы это жертвы маркетинга? не надоело раз в полгода 50 баксов выбрасывать
> из-за очередной уязвимости в usb-свистке?
в usb-свистке, внезапно, никаких явных уязвимостей - пока не находили.
(он там by design кривой, но, к сожалению, пластмассово-пластилиновый мир никак не может осилить нормально сделать - там, откуда они копипастят, нет нормального. И да, лучше уж убиквити чем пароль 21345)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #26

26. Сообщение от Аноним (4), 18-Янв-25, 14:37 +1 +/–

Все давно известно что бумажка под клавиатурой самое безопасное что придумано на данный момент.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #28

27. Сообщение от Аноним (4), 18-Янв-25, 14:38 +/–

Зоркий глаз заметил, но пипл всё равно продолжает хавать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

28. Сообщение от нах. (?), 18-Янв-25, 14:45 +/–

какое нах?! Ты бы знал, сколько я их прое...
То сквозняком сдует (и даже если найти потом - поди пойми где она лежала и от чего это), то винищем зальешь, то пылесосом всосет вместе с шерстью... тухлый номер, короч.
Идея из далеких времен когда компьютеры были большие и одного пароля от всего хватало. (И этому...эксперту с кошельком передайте, что в кошелек столько тоже не влезет)
Пишу строительным маркером прям на рамке монитора. Так - надежно. И перепутать мониторы постараться надо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #29

29. Сообщение от ryoken (ok), 18-Янв-25, 18:31 +/–

>>то винищем зальешь
Да вы батенька, сизый нос.. :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 17-Янв-25, 16:32	+/–
Не опасно, можно не напрягаться.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4

4. Сообщение от Аноним (4), 17-Янв-25, 16:45	–3 +/–
Отверстием могут воспользоваться только те чьё это отверстие.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #8, #18

7. Сообщение от Аноним (-), 17-Янв-25, 16:50	+2 +/–
Хм... я правильно понимаю, что, судя по коммиту debug_dbg(cfg, "Unable to allocate memory"); + retval = PAM_BUF_ERR; goto done; они тупо игнорили ситуацию "не смог аллоцировать память" ?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #10

8. Сообщение от нах. (?), 17-Янв-25, 16:50	–1 +/–
нет, любой кто подсмотрел твой пароль. Именно для предотвращения подобных атак мы и используем токен.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #23

10. Сообщение от нах. (?), 17-Янв-25, 16:55	–2 +/–
не игнорили, просто возвращали код "нишмагла" не уточняя почему. Им показалось - логично, это ведь не ошибка проверки токена, этодругое. А там в конфиге "suffucient" вместо required (потому что иначе без 2fa вообще не залогинишься), и любой модуль этажом выше мог выдать ок. Т.е. ломались именно 2fa, а там где вообще не принято было использовать пароли - все оставалось безопастно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7

12. Сообщение от Ivan_83 (ok), 17-Янв-25, 16:56	+1 +/–
> PAM_IGNORE. Данное значение возвращается в случае ошибки выполнения вызовов gethostname() эээ это же достаточно сеть не надолго отключить. Зачётно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #17

16. Сообщение от Аноним (-), 17-Янв-25, 17:18	+1 +/–
> Уязвимость позволяет пользователю, имеющему непривилегированный локальный доступ к системе, > в определённых конфигурациях PAM пройти аутентификацию без вставки аппаратного токена На третий день Зоркий Глаз заметил что втыкать токен для аутентификации было не обязательно :))
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #27

17. Сообщение от нах. (?), 17-Янв-25, 18:48	+/–
>> PAM_IGNORE. Данное значение возвращается в случае ошибки выполнения вызовов gethostname() > эээ это же достаточно сеть не надолго отключить. да, мне тоже лень в код лазить, но ощущение подсказывает что должно сработать. где, где супергерои из nixos, которые заявят что вот у них-то все супернадежно?! > Зачётно. ну, в принципе, нехватку памяти устроить тоже не надо сверхспособностей.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

18. Сообщение от Аноним (18), 17-Янв-25, 19:57	+/–
Это смотря в какой компании окажешься ;)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

23. Сообщение от Аноним (23), 18-Янв-25, 10:17	+1 +/–
вы это жертвы маркетинга? не надоело раз в полгода 50 баксов выбрасывать из-за очередной уязвимости в usb-свистке?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #25

25. Сообщение от нах. (?), 18-Янв-25, 10:54	–2 +/–
> вы это жертвы маркетинга? не надоело раз в полгода 50 баксов выбрасывать > из-за очередной уязвимости в usb-свистке? в usb-свистке, внезапно, никаких явных уязвимостей - пока не находили. (он там by design кривой, но, к сожалению, пластмассово-пластилиновый мир никак не может осилить нормально сделать - там, откуда они копипастят, нет нормального. И да, лучше уж убиквити чем пароль 21345)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23 Ответы: #26

26. Сообщение от Аноним (4), 18-Янв-25, 14:37	+1 +/–
Все давно известно что бумажка под клавиатурой самое безопасное что придумано на данный момент.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25 Ответы: #28

27. Сообщение от Аноним (4), 18-Янв-25, 14:38	+/–
Зоркий глаз заметил, но пипл всё равно продолжает хавать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16

28. Сообщение от нах. (?), 18-Янв-25, 14:45	+/–
какое нах?! Ты бы знал, сколько я их прое... То сквозняком сдует (и даже если найти потом - поди пойми где она лежала и от чего это), то винищем зальешь, то пылесосом всосет вместе с шерстью... тухлый номер, короч. Идея из далеких времен когда компьютеры были большие и одного пароля от всего хватало. (И этому...эксперту с кошельком передайте, что в кошелек столько тоже не влезет) Пишу строительным маркером прям на рамке монитора. Так - надежно. И перепутать мониторы постараться надо.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #26 Ответы: #29

29. Сообщение от ryoken (ok), 18-Янв-25, 18:31	+/–
>>то винищем зальешь Да вы батенька, сизый нос.. :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #28