Ny manam-pahaizana avy amin'ny Qualys Labs dia nahita olana ara-piarovana maro mifandraika amin'ny fahafahana mamitaka ireo programa tompon'andraikitra amin'ny rafitra fanamarinana ny tenimiafina ampiasaina ao amin'ny BSD (mitovy amin'ny PAM). Ny hafetsena dia ny mandefa ny solon'anarana "-challenge" na "-schallenge: passwd", izay adika avy eo tsy ho solon'anarana, fa ho safidy. Aorian'izany dia manaiky ny tenimiafina rehetra ny rafitra. marefo, i.e. Vokatr'izany, ny fidirana tsy nahazoana alalana dia avelan'ny serivisy smtpd, ldapd, radiusd. Ny serivisy sshd dia tsy azo trandrahana, satria sshd dia manamarika fa tsy misy ny mpampiasa "-challenge". Ny programa su dia mianjera rehefa manandrana mitrandraka azy, satria miezaka mamantatra ny uid amin'ny mpampiasa tsy misy.
Nambara ihany koa ny fahalemena isan-karazany tao amin'ny xlock, tamin'ny alàlan'ny S/Key sy Yubikey, ary koa amin'ny su, tsy mifandraika amin'ny famaritana ny mpampiasa “-challenge”. Ny vulnerable amin'ny xlock dia ahafahan'ny mpampiasa mahazatra mampitombo ny tombontsoa amin'ny vondrona auth. Azo atao ny mampiakatra ny tombontsoa avy amin'ny vondrona auth mankany amin'ny mpampiasa faka amin'ny alàlan'ny fampandehanana diso ny mekanika fanomezan-dàlana S/Key sy Yubikey, saingy tsy mandeha izany amin'ny fanovana OpenBSD default satria ny fanomezan-dàlana S/Key sy Yubikey dia kilemaina. Farany, ny vulnerability in su dia mamela ny mpampiasa hampitombo ny fetra amin'ny loharanon'ny rafitra, toy ny isan'ny mpamoritra rakitra misokatra.
Amin'izao fotoana izao, efa raikitra ny vulnerability, azo alaina amin'ny alàlan'ny mekanika syspatch(8) ny fanavaozana fiarovana.
Source: linux.org.ru
