SOS :: Security Operation Space
18 сентября, пятница, 00:00
|
Hot News:

В OpenBSD закрыли четыре уязвимости средств авторизации

06 декабря 2019 г., пятница, 16:59

Одна ошибка позволяла обойти проверку пароля, остальные можно было использовать для повышения прав в системе.

Разработчики открытой операционной системы OpenBSD устранили в ней четыре уязвимости, позволявшие обойти механизмы защиты и повысить привилегии на целевой машине. На момент публикации баги не получили оценку угрозы по шкале CVSS, однако эксперты не сомневаются в возможности практического применения эксплойтов.

Многоплатформенная ОС с открытым кодом OpenBSD обеспечивает работу многих элементов IT-инфраструктуры, которые требуют дополнительной защиты. Информационная безопасность была одним из ключевых приоритетов для создателей системы, благодаря чему OpenBSD часто используется для управления межсетевыми экранами, почтовыми и интернет-серверами.

Обнаруженные уязвимости OpenBSD

О выявлении новых ошибок разработчикам сообщили эксперты Qualys. Самый серьезный баг (CVE-2019-19521) содержится в авторизационном фреймворке OpenBSD. Исследователи обнаружили, что, если добавить к имени пользователя дефис, программа воспринимает такое сочетание символов как команду. Это позволило экспертам проникнуть в систему, минуя проверку пароля.

Метод работает в сервисах smtpd, ldapd и radiusd. В sshd и su предусмотрены дополнительные механизмы защиты, которые блокируют соединение при обходе аутентификации.

Остальные уязвимости можно использовать после проникновения в систему для получения дополнительных прав:

  • CVE-2019-19520 обнаружена в компоненте xlock, который входит в базовую конфигурацию системы. Ошибка управления путями доступа позволяет взломщику поднять уровень привилегий до группового.
  • CVE-2019-19522 связана с работой авторизационных механизмов S/Key и YubiKey, которые по умолчанию отключены, но могут быть активированы системным администратором. В последнем случае злоумышленник сможет воспользоваться багом, чтобы получить root-доступ к системе.
  • CVE-2019-19519 в одной из базовых функций утилиты su открывает доступ к любому классу авторизации, кроме root.

Разработчикам понадобилось менее двух суток, чтобы устранить обнаруженные уязвимости. Они призывают всех пользователей OpenBSD веток 6.5 и 6.6 обновить свои сборки.

В 2018 году исследователи нашли в пакете OpenBSD ошибку, которая оставалась в коде на протяжении 19 лет. Уязвимость компонента SSH, отвечающего за безопасность интернет-соединений, позволяла подобрать имя пользователя при атаке на веб-ресурсы.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
13:15
11:15
11:15
09:15
07:15
07:15
06:15
16:15
13:15
12:15
10:15
09:15
06:15
13:15
11:15
09:15
07:15
06:15


© 2013—2020 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.285
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.