漏洞信息详情

OATH Toolkit 安全漏洞

  • CNNVD编号:CNNVD-201403-157
  • 危害等级: 中危
  • CVE编号: CVE-2013-7322
  • 漏洞类型: 授权问题
  • 发布时间: 2014-03-12
  • 威胁类型: 远程
  • 更新时间: 2014-03-12
  • 厂        商: nongnu
  • 漏洞来源:

漏洞简介

OATH Toolkit是一套用于开发OATH(开放身份认证规范)相关部署技术的工具集,它通过集成共享库、命令行工具和PAM模块,可生成一次性密码认证系统,且支持基于事件的HOTP和基于时间的TOTP的一次性密码设置。

OATH Toolkit 2.4.1之前版本的liboath中的usersfile.c文件存在安全漏洞,该漏洞源于程序没有正确处理包含无效的one-time-password (OTP)类型的注释行和/etc/users.oath文件中的用户名。当验证OTP时,攻击者可利用该漏洞实施重放攻击。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

http://www.nongnu.org/oath-toolkit/NEWS.html

参考网址

来源: XF

名称: oath-toolkit-cve20137322-replay(91316)

链接:http://xforce.iss.net/xforce/xfdb/91316

来源: www.nongnu.org

链接:http://www.nongnu.org/oath-toolkit/NEWS.html

来源: MLIST

名称: [oss-security] 20140209 Re: oath-toolkit PAM module OTP token invalidation issue

链接:http://seclists.org/oss-sec/2014/q1/296

来源: MLIST

名称: [OATH-Toolkit-help] 20131214 Re: libpam-oath vulnerable to replay of OTP as result of incorrectly parsing comments in users file?

链接:http://lists.nongnu.org/archive/html/oath-toolkit-help/2013-12/msg00003.html

来源: MLIST

名称: [OATH-Toolkit-help] 20131214 Re: libpam-oath vulnerable to replay of OTP as result of incorrectly parsing comments in users file?

链接:http://lists.nongnu.org/archive/html/oath-toolkit-help/2013-12/msg00002.html

来源: MLIST

名称: [OATH-Toolkit-help] 20131209 libpam-oath vulnerable to replay of OTP as result of incorrectly parsing comments in users file?

链接:http://lists.nongnu.org/archive/html/oath-toolkit-help/2013-12/msg00000.html

漏洞信息快速查询

相关漏洞

更多