ಕ್ವಾಲಿಸ್ ಲ್ಯಾಬ್ಸ್ನ ತಜ್ಞರು BSD (PAM ಗೆ ಸದೃಶವಾಗಿ) ಬಳಸಿದ ಪಾಸ್ವರ್ಡ್ ತಪಾಸಣೆ ಕಾರ್ಯವಿಧಾನಗಳಿಗೆ ಜವಾಬ್ದಾರರಾಗಿರುವ ಕಾರ್ಯಕ್ರಮಗಳನ್ನು ವಂಚಿಸುವ ಸಾಮರ್ಥ್ಯಕ್ಕೆ ಸಂಬಂಧಿಸಿದ ಹಲವಾರು ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳನ್ನು ಕಂಡುಹಿಡಿದಿದ್ದಾರೆ. "-ಚಾಲೆಂಜ್" ಅಥವಾ "-ಸ್ಚಾಲೆಂಜ್:ಪಾಸ್ಡಬ್ಲ್ಯೂಡಿ" ಎಂಬ ಬಳಕೆದಾರಹೆಸರನ್ನು ರವಾನಿಸುವುದು ಟ್ರಿಕ್ ಆಗಿದೆ, ಇದನ್ನು ನಂತರ ಬಳಕೆದಾರಹೆಸರಾಗಿಲ್ಲ, ಆದರೆ ಆಯ್ಕೆಯಾಗಿ ಅರ್ಥೈಸಲಾಗುತ್ತದೆ. ಇದರ ನಂತರ, ಸಿಸ್ಟಮ್ ಯಾವುದೇ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಸ್ವೀಕರಿಸುತ್ತದೆ. ದುರ್ಬಲ, ಅಂದರೆ. ಪರಿಣಾಮವಾಗಿ, smtpd, ldapd, radiusd ಸೇವೆಗಳಿಂದ ಅನಧಿಕೃತ ಪ್ರವೇಶವನ್ನು ಅನುಮತಿಸಲಾಗಿದೆ. sshd ಸೇವೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಲಾಗುವುದಿಲ್ಲ, ಏಕೆಂದರೆ sshd ನಂತರ ಬಳಕೆದಾರ “-ಚಾಲೆಂಜ್” ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲ ಎಂದು ಗಮನಿಸುತ್ತದೆ. su ಪ್ರೋಗ್ರಾಂ ಅದನ್ನು ಬಳಸಿಕೊಳ್ಳಲು ಪ್ರಯತ್ನಿಸಿದಾಗ ಕ್ರ್ಯಾಶ್ ಆಗುತ್ತದೆ, ಏಕೆಂದರೆ ಇದು ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ಬಳಕೆದಾರರ uid ಅನ್ನು ಕಂಡುಹಿಡಿಯಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ.
xlock ನಲ್ಲಿ, S/Key ಮತ್ತು Yubikey ಮೂಲಕ ದೃಢೀಕರಣದಲ್ಲಿ, ಹಾಗೆಯೇ su ನಲ್ಲಿ "-ಚಾಲೆಂಜ್" ಬಳಕೆದಾರರನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವುದಕ್ಕೆ ಸಂಬಂಧಿಸಿಲ್ಲದ ವಿವಿಧ ದೋಷಗಳನ್ನು ಸಹ ಬಹಿರಂಗಪಡಿಸಲಾಗಿದೆ. xlock ನಲ್ಲಿನ ದುರ್ಬಲತೆಯು ಸಾಮಾನ್ಯ ಬಳಕೆದಾರರಿಗೆ ದೃಢೀಕರಣ ಗುಂಪಿಗೆ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. S/Key ಮತ್ತು Yubikey ದೃಢೀಕರಣ ಕಾರ್ಯವಿಧಾನಗಳ ತಪ್ಪಾದ ಕಾರ್ಯಾಚರಣೆಯ ಮೂಲಕ ದೃಢೀಕರಣ ಗುಂಪಿನಿಂದ ರೂಟ್ ಬಳಕೆದಾರರಿಗೆ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸಲು ಸಾಧ್ಯವಿದೆ, ಆದರೆ ಇದು ಡೀಫಾಲ್ಟ್ OpenBSD ಕಾನ್ಫಿಗರೇಶನ್ನಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುವುದಿಲ್ಲ ಏಕೆಂದರೆ S/Key ಮತ್ತು Yubikey ದೃಢೀಕರಣವನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ. ಅಂತಿಮವಾಗಿ, su ನಲ್ಲಿನ ದುರ್ಬಲತೆಯು ಬಳಕೆದಾರರಿಗೆ ಸಿಸ್ಟಮ್ ಸಂಪನ್ಮೂಲಗಳ ಮೇಲಿನ ಮಿತಿಗಳನ್ನು ಹೆಚ್ಚಿಸಲು ಅನುಮತಿಸುತ್ತದೆ, ಉದಾಹರಣೆಗೆ ತೆರೆದ ಫೈಲ್ ಡಿಸ್ಕ್ರಿಪ್ಟರ್ಗಳ ಸಂಖ್ಯೆ.
ಈ ಸಮಯದಲ್ಲಿ, ದೋಷಗಳನ್ನು ಸರಿಪಡಿಸಲಾಗಿದೆ, ಸ್ಟ್ಯಾಂಡರ್ಡ್ ಸಿಸ್ಪ್ಯಾಚ್ (8) ಕಾರ್ಯವಿಧಾನದ ಮೂಲಕ ಭದ್ರತಾ ನವೀಕರಣಗಳು ಲಭ್ಯವಿವೆ.
ಮೂಲ: linux.org.ru