Sign in

Member Benefits

Get Demands

View Business Cards

Exclusive Service

Noble Identity

AS LOW AS 1.5U /DAY

Ubuntu身分驗證元件Authd存在高風險漏洞,攻擊者有機會發動使用者ID欺騙攻擊

Share

支付動態

2024-10-17

本週Canonical針對Ubuntu發布新版身分驗證管理元件Authd,目的是修補高風險漏洞CVE-2024-9312,若不處理,攻擊者可藉由建立特定名稱的帳號,造成UID衝突並進行冒用

Canonical近期針對Ubuntu發布資安公告,揭露高風險漏洞CVE-2024-9312,這項弱點存在於身分驗證管理元件Authd,一旦攻擊者觸發漏洞,就有機會欺騙電腦,並針對特定使用者帳號進行未經授權存取,CVSS風險為7.6分,該公司提供0.3.6版Authd修補。

這項元件的功能,主要是提供雲端身分驗證系統的身分驗證及存取的安全管理,並藉由模組化設計而具備多種身分驗證功能,該元件目前支援存取Entra ID,開發團隊未來也打算支援其他的身分驗證提供者。

究竟這項漏洞發生的原因為何?原因是Authd分配的UID是根據使用者名稱產生的純函數(pure function),再者,則是UID的集合太小,導致無法進行隨機分配。這樣的情況,使得該元件很可能會遭到利用。

攻擊者可在取得本機權限的情況下,使用可能會造成衝突,或是與目標帳號UID符合的使用者名稱,來建立多個使用者帳號,這麼一來,攻擊者就有機會得到與目標用戶相同的存取權限。

不僅如此,攻擊者還能試圖利用這項弱點操縱其他電腦上的資源。

針對這項弱點,除了Canonical推出新版Authd,通報此事的研究人員認為,企業組織應考慮透過身分驗證提供者或其他的管道,發布不會造成衝突的UID來因應。

Disclaimer:
Details
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu