Összefoglaló
A Linux Cryptsetup sérülékenységét jelentették, amelyet kihasználva feloldható a LUKS (Linux Unified Key Setup) általt titkosított partíció.
Leírás
A biztonsági rés könnyedén kihasználható, mert független a rendszerektől és a különböző konfigurációktól, továbbá felhő alapú szolgáltatásoknál is működik.
Kihasználásához mindössze egy billentyűzetre és/vagy egy egérre van szükség, amelyek segítségével elegendő lenyomni és lenyomva tartani az “Enter” billentyűt a LUKS jelszókérésekor körülbelül 70 másodpercig.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Information disclosure (Információ/adat szivárgás)Privilege escalation (jogosultság kiterjesztés)
Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Physical/Console (Fizikai/konzol)Remote/Network (Távoli/hálózat)
Hivatkozások
CVE-2016-4484 - NVD CVE-2016-4484
Egyéb referencia: hmarco.org
Egyéb referencia: www.heise.de