Ubuntu身分驗證元件Authd存在高風險漏洞,攻擊者有機會發動使用者ID欺騙攻擊
支付動態 · 2024-10-17

本週Canonical針對Ubuntu發布新版身分驗證管理元件Authd,目的是修補高風險漏洞CVE-2024-9312,若不處理,攻擊者可藉由建立特定名稱的帳號,造成UID衝突並進行冒用

Canonical近期針對Ubuntu發布資安公告,揭露高風險漏洞CVE-2024-9312,這項弱點存在於身分驗證管理元件Authd,一旦攻擊者觸發漏洞,就有機會欺騙電腦,並針對特定使用者帳號進行未經授權存取,CVSS風險為7.6分,該公司提供0.3.6版Authd修補。

這項元件的功能,主要是提供雲端身分驗證系統的身分驗證及存取的安全管理,並藉由模組化設計而具備多種身分驗證功能,該元件目前支援存取Entra ID,開發團隊未來也打算支援其他的身分驗證提供者。

究竟這項漏洞發生的原因為何?原因是Authd分配的UID是根據使用者名稱產生的純函數(pure function),再者,則是UID的集合太小,導致無法進行隨機分配。這樣的情況,使得該元件很可能會遭到利用。

攻擊者可在取得本機權限的情況下,使用可能會造成衝突,或是與目標帳號UID符合的使用者名稱,來建立多個使用者帳號,這麼一來,攻擊者就有機會得到與目標用戶相同的存取權限。

不僅如此,攻擊者還能試圖利用這項弱點操縱其他電腦上的資源。

針對這項弱點,除了Canonical推出新版Authd,通報此事的研究人員認為,企業組織應考慮透過身分驗證提供者或其他的管道,發布不會造成衝突的UID來因應。

热门文章
1spin4win releases unique slot Don Catleone Hold and Win featuring gangster cats
Online Game
What’s on the SBC Summit Conference Agenda in 2026?
Marketing
Vietnam's tightening online gaming policy creates new market opportunities
Southeast Asia
PropellerAds Shared a New iGaming Case Study: 97,674 Installs and 12,701 Deposits in 3 Months
Marketing
Brazil Proposes Raising Gambling Tax Rate to 24%, With Revenue Allocated to Social Security and Healthcare
Regulation
UK MPs reopen 2025 gambling inquiry as reform stalls
Regulation
Gaming & Technology Expo Makes a Powerful Entrance in CDMX
Marketing
GAT Expo Puerto Rico Will Pulse with the New Era of Gaming in the Caribbean
Marketing
Super PAC Raises $48 Million: Sports Betting Forces Ramp Up Political Push
Regulation
Manila delivers: Highlights from SiGMA Asia 2026 
Southeast Asia
PropellerAds Positions Itself as a Go-To Traffic Source for iGaming Advertisers Ahead of a High-Demand Season
Marketing
JILI Partners with Cricket Legend AB de Villiers (ABD) to Launch Exclusive Branded Game Series 100% 11
Sports Game
Institutional Academy that exceeded expectations marked the opening of GAT CDMX
Online Game
Indiana online casino bill stalls in House committee
Regulation
New Jersey July Gambling Revenue Hits $606M, Sweeps Casinos Banned
Regulation
首页
游戏
合作
发现
我的