CH azonosító
CH-8383Angol cím
Drupal Google Authenticator Login Module Security Bypass Security IssueFelfedezés dátuma
2013.01.31.Súlyosság
AlacsonyÉrintett rendszerek
DrupalGoogle Authenticator Login Module
Érintett verziók
Drupal Google Authenticator Login Module 7.x
Összefoglaló
A Drupal Google Authenticator bővítmény egy sérülékenységét jelentették, amit kihasználva a támadók megkerülhetnek egyes biztonsági szabályokat.
Leírás
A sérülékenységet a több faktoros hitelesítésben lévő logikai hiba okozza, amit kihasználva meg lehet kerülni a hitelesítést, és egy másik felhasználó login nevét felhasználva be lehet lépni annak fiókjába.
A sérülékenység sikeres kihasználásához ismerni kell a felhasználó nevét, az áldozatnak használnia kell a több faktoros hitelesítést, valamint egy hiányos társításnak kell lennie a felhasználói fiók és a Google Authenticator token közt.
A sérülékenységet a 7.x-1.3 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Authentication Issues (Hitelesítés)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 51987