Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в pam-u2f, позволяющая обойти аутентификацию на базе аппаратного токена"	+/–
Сообщение от opennews (??), 17-Янв-25, 16:32
Разработчики проекта openSUSE выявили уязвимость (CVE-2025-23013) в PAM-модуле pam-u2f, применяемом при аутентификации через токены YubiKey,... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62575
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."	+/–
Сообщение от Аноним (1), 17-Янв-25, 16:32
Не опасно, можно не напрягаться.
Ответить | Правка | Наверх | Cообщить модератору

	4. "Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."	–3 +/–
	Сообщение от Аноним (4), 17-Янв-25, 16:45
	Отверстием могут воспользоваться только те чьё это отверстие.
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."	–1 +/–
	Сообщение от нах. (?), 17-Янв-25, 16:50
	нет, любой кто подсмотрел твой пароль. Именно для предотвращения подобных атак мы и используем токен.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."	+1 +/–
	Сообщение от Аноним (23), 18-Янв-25, 10:17
	вы это жертвы маркетинга? не надоело раз в полгода 50 баксов выбрасывать из-за очередной уязвимости в usb-свистке?
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."	–2 +/–
	Сообщение от нах. (?), 18-Янв-25, 10:54
	> вы это жертвы маркетинга? не надоело раз в полгода 50 баксов выбрасывать > из-за очередной уязвимости в usb-свистке? в usb-свистке, внезапно, никаких явных уязвимостей - пока не находили. (он там by design кривой, но, к сожалению, пластмассово-пластилиновый мир никак не может осилить нормально сделать - там, откуда они копипастят, нет нормального. И да, лучше уж убиквити чем пароль 21345)
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."	+1 +/–
	Сообщение от Аноним (4), 18-Янв-25, 14:37
	Все давно известно что бумажка под клавиатурой самое безопасное что придумано на данный момент.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."	+/–
	Сообщение от нах. (?), 18-Янв-25, 14:45
	какое нах?! Ты бы знал, сколько я их прое... То сквозняком сдует (и даже если найти потом - поди пойми где она лежала и от чего это), то винищем зальешь, то пылесосом всосет вместе с шерстью... тухлый номер, короч. Идея из далеких времен когда компьютеры были большие и одного пароля от всего хватало. (И этому...эксперту с кошельком передайте, что в кошелек столько тоже не влезет) Пишу строительным маркером прям на рамке монитора. Так - надежно. И перепутать мониторы постараться надо.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."	+/–
	Сообщение от Аноним (18), 17-Янв-25, 19:57
	Это смотря в какой компании окажешься ;)
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."	+2 +/–
Сообщение от Аноним (-), 17-Янв-25, 16:50
Хм... я правильно понимаю, что, судя по коммиту debug_dbg(cfg, "Unable to allocate memory"); + retval = PAM_BUF_ERR; goto done; они тупо игнорили ситуацию "не смог аллоцировать память" ?
Ответить | Правка | Наверх | Cообщить модератору

	10. "Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."	–2 +/–
	Сообщение от нах. (?), 17-Янв-25, 16:55
	не игнорили, просто возвращали код "нишмагла" не уточняя почему. Им показалось - логично, это ведь не ошибка проверки токена, этодругое. А там в конфиге "suffucient" вместо required (потому что иначе без 2fa вообще не залогинишься), и любой модуль этажом выше мог выдать ок. Т.е. ломались именно 2fa, а там где вообще не принято было использовать пароли - все оставалось безопастно.
	Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."	+1 +/–
Сообщение от Ivan_83 (ok), 17-Янв-25, 16:56
> PAM_IGNORE. Данное значение возвращается в случае ошибки выполнения вызовов gethostname() эээ это же достаточно сеть не надолго отключить. Зачётно.
Ответить | Правка | Наверх | Cообщить модератору

	17. "Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."	+/–
	Сообщение от нах. (?), 17-Янв-25, 18:48
	>> PAM_IGNORE. Данное значение возвращается в случае ошибки выполнения вызовов gethostname() > эээ это же достаточно сеть не надолго отключить. да, мне тоже лень в код лазить, но ощущение подсказывает что должно сработать. где, где супергерои из nixos, которые заявят что вот у них-то все супернадежно?! > Зачётно. ну, в принципе, нехватку памяти устроить тоже не надо сверхспособностей.
	Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в pam-u2f, позволяющая обойти аутентификацию на б..."	+1 +/–
Сообщение от Аноним (-), 17-Янв-25, 17:18
> Уязвимость позволяет пользователю, имеющему непривилегированный локальный доступ к системе, > в определённых конфигурациях PAM пройти аутентификацию без вставки аппаратного токена На третий день Зоркий Глаз заметил что втыкать токен для аутентификации было не обязательно :))
Ответить | Правка | Наверх | Cообщить модератору

	27. Скрыто модератором	+/–
	Сообщение от Аноним (4), 18-Янв-25, 14:38
	Зоркий глаз заметил, но пипл всё равно продолжает хавать.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема