Ubuntu身分驗證元件Authd存在高風險漏洞,攻擊者有機會發動使用者ID欺騙攻擊
支付動態 · 2024-10-17

本週Canonical針對Ubuntu發布新版身分驗證管理元件Authd,目的是修補高風險漏洞CVE-2024-9312,若不處理,攻擊者可藉由建立特定名稱的帳號,造成UID衝突並進行冒用

Canonical近期針對Ubuntu發布資安公告,揭露高風險漏洞CVE-2024-9312,這項弱點存在於身分驗證管理元件Authd,一旦攻擊者觸發漏洞,就有機會欺騙電腦,並針對特定使用者帳號進行未經授權存取,CVSS風險為7.6分,該公司提供0.3.6版Authd修補。

這項元件的功能,主要是提供雲端身分驗證系統的身分驗證及存取的安全管理,並藉由模組化設計而具備多種身分驗證功能,該元件目前支援存取Entra ID,開發團隊未來也打算支援其他的身分驗證提供者。

究竟這項漏洞發生的原因為何?原因是Authd分配的UID是根據使用者名稱產生的純函數(pure function),再者,則是UID的集合太小,導致無法進行隨機分配。這樣的情況,使得該元件很可能會遭到利用。

攻擊者可在取得本機權限的情況下,使用可能會造成衝突,或是與目標帳號UID符合的使用者名稱,來建立多個使用者帳號,這麼一來,攻擊者就有機會得到與目標用戶相同的存取權限。

不僅如此,攻擊者還能試圖利用這項弱點操縱其他電腦上的資源。

針對這項弱點,除了Canonical推出新版Authd,通報此事的研究人員認為,企業組織應考慮透過身分驗證提供者或其他的管道,發布不會造成衝突的UID來因應。

熱門文章
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
西班牙監管機構警告在線賭博平臺存在身份盜竊行為
合規與政策
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
越南在線博彩業政策收緊 催生市場新機遇
東南亞資訊
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
橫跨全球6個城市,灰度8場派對邀你共看世界盃,重塑高質量社交新場景
灰度頭條
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
英國確認各垂直行業的賭博稅稅率
合規與政策
首頁
遊戲
合作
發現
我的