Yubico 解决 pam-u2f 软件包中的身份验证绕过漏洞 CVE-2025-23013

领先的安全密钥和身份验证解决方案提供商 Yubico 发布了安全公告，以解决其开源 pam-u2f 软件包中的一个身份验证绕过漏洞（CVE-2025-23013）。

pam-u2f 软件包为 macOS 和 Linux 系统提供了一个可插拔的身份验证模块（PAM），使用户能够使用 YubiKeys 或其他符合 FIDO 标准的身份验证器进行身份验证。然而，该软件中的一个漏洞可能允许拥有非特权用户访问权限的攻击者在某些条件下绕过身份验证。

问题出在 pam_sm_authenticate() 函数上，在内存分配失败或配置文件丢失等特定错误条件下，该函数会返回 PAM_IGNORE 响应。PAM_IGNORE 响应会导致不正确的身份验证决策，有可能让攻击者绕过主要或次要身份验证因素的验证。

Yubico 指出：“当模块返回 PAM_IGNORE 时，它不会对 PAM 执行的最终身份验证决策做出贡献。”

该漏洞的严重程度因 pam-u2f 的配置方式而异：

• 用户管理 authfile： 如果 authfile 存储在用户的主目录中，并且 pam-u2f 被用作单因素身份验证方法并启用了 nouserok 选项，攻击者就可以篡改 authfile 以触发身份验证绕过。
• 集中管理的 authfile： 如果 authfile 是集中管理的，并且 pam-u2f 被用作第二要素身份验证方法，攻击者就可能利用内存分配错误来禁用第二要素验证。
• 使用非认证模块的单因素认证： 如果将 pam-u2f 作为单因素方法与非认证 PAM 模块一起使用，攻击者可利用 PAM_IGNORE 响应绕过所有认证检查。

Yubico 发布了 pam-u2f 1.3.1 版本，以解决 CVE-2025-23013 漏洞，并强烈建议所有用户升级到最新版本。该公司还为无法立即升级的用户提供了其他缓解策略。