Google Authenticator 本地信息泄露漏洞

漏洞信息详情

Google Authenticator 本地信息泄露漏洞

• CNNVD编号：CNNVD-201304-428
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2012-6140
  
• 漏洞类型：
  
  
  信息泄露
  
• 发布时间：
  
  2013-04-19
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2013-04-25
  
• 厂        商：
  
  google
• 漏洞来源：

Drupal是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。Google Authenticator是其中的一个扩展模块，该模块是美国谷歌（google）公司开发的一款身份验证器。

Google Authenticator 1.0之前的版本中的PAM模块中的pam_google_authenticator.c中存在漏洞，该漏洞源于程序对保密文件设置用户可读权限。本地攻击者可通过标准的文件系统操作利用该漏洞绕过特定的访问限制，发现共享的保密文件。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=666129

来源: code.google.com

链接:https://code.google.com/p/google-authenticator/source/detail?r=c3414e9857ad64e52283f3266065ef3023fc69a8

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=953505

来源: MLIST

名称: [oss-security] 20130418 Re: CVE-2012-XXYY Request — google-authenticator: Information disclosure due insecure requirement on the secrets file

链接:http://openwall.com/lists/oss-security/2013/04/18/10

来源: bugs.debian.org

链接:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=666129

来源: BID

名称: 59294

链接:http://www.securityfocus.com/bid/59294