PT-2020-15765 · Selinux · Selinux-Policy
Publicado
2020-08-24
·
Atualizado
2022-05-11
·
CVE-2020-24612
CVSS v3.1
6.7
Média
| Vetor | AC:H/AV:L/A:N/C:H/I:H/PR:N/S:U/UI:N |
Nome do software vulnerável e versões afetadas
selinux-policy, versões 3.14 a 2020-08-24
Descrição
Um problema no pacote selinux-policy faz com que o diretório .config/Yubico seja tratado incorretamente. Como resultado, quando o SELinux está no modo de aplicação, o pam-u2f não tem permissão para ler o arquivo de configuração U2F do usuário. Se configurado com a opção nouserok e o arquivo não puder ser lido, o segundo fator é desativado, permitindo que um invasor que conheça apenas a senha faça login e contorne a autenticação de dois fatores (2FA).
Recomendações
Para as versões do selinux-policy de 3.14 a 2020-08-24, considere atualizar o pacote selinux-policy para uma versão que lide adequadamente com o diretório .config/Yubico, garantindo que o pam-u2f possa ler o arquivo de configuração U2F e que a autenticação de dois fatores (2FA) funcione conforme o esperado.
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Selinux-Policy