在 PAM-PKCS#11 模块中发现了三个严重漏洞,该模块是一款广泛使用的 Linux-PAM 登录模块,用于实现基于 X.509 证书的用户身份认证。
这些漏洞的编号分别为 CVE-2025-24032、CVE-2025-24531 和 CVE-2025-24031。它们带来了极大的风险,因为攻击者可借此绕过身份认证机制,进而可能导致未经授权的访问以及系统中断。
CVE-2025-24032—— 通过令牌劫持绕过身份认证 第一个漏洞 CVE-2025-24032 影响 0.6.13 版本之前的 PAM-PKCS#11。在这种情况下,如果证书策略(cert_policy)设置为 “无”(none,这是默认设置),该模块只会验证用户能否登录令牌,而不会检查私钥的签名。
这一缺陷使得攻击者能够利用用户的公钥证书和已知的个人识别码(PIN)创建一个令牌,从而无需私钥即可以该用户身份登录。
由于存在导致未经授权访问的潜在风险,该漏洞被归类为高严重级别。修复方法是升级到 0.6.13 或更高版本,在这些版本中,默认行为已更改为需要进行签名检查。
CVE-2025-24531—— 在错误情况下绕过身份认证 第二个问题 CVE-2025-24531 是在 PAM-PKCS#11 的 0.6.12 版本中引入的,并在 0.6.13 版本中得到修复。该漏洞使得在错误情况下能够绕过身份认证,尤其是在内存分配失败或权限更改不正确时。
该模块会返回 “PAM_IGNORE”(忽略),如果启用了 “nouserok” 选项,这可能会导致身份认证被绕过,使攻击者无需经过适当验证即可登录。
CVE-2025-24031—— 输入 PIN 时发生段错误 最后,CVE-2025-24031 影响 0.6.12 及更早版本,在这些版本中,如果用户取消 PIN 输入过程(通过按下 ctrl-c 或 ctrl-d),该模块就会发生段错误。这会导致系统崩溃,进而造成拒绝服务,影响系统的可用性。建议的缓解措施是更新到 0.6.13 或更高版本,该版本包含针对此问题的补丁。
缓解措施与建议 为了缓解这些漏洞带来的影响,强烈建议用户采取以下措施:
1.升级到 PAM-PKCS#11 的 6.13 或更高版本,以修复所有这三个漏洞。
2.在conf 中配置 “cert_policy = signature;”,作为针对 CVE-2025-24032 的临时解决办法。
3.如果受影响的服务因 CVE-2025-24031 而崩溃,需对其进行监控并重新启动。
4.实施额外的访问控制措施,并对用户进行教育,使其了解取消 PIN 输入的风险。
这些漏洞凸显了在 Linux 环境中定期更新和仔细配置身份认证模块的重要性,这样做可以防止未经授权的访问,并确保系统的完整性。
用户和系统管理员应立即采取行动,保护他们的系统免受这些潜在威胁的侵害。
发表评论
您还未登录,请先登录。
登录