Security Lab

Раскрытие информации при неправильной авторизации в OPIE

Дата публикации:18.11.2001
Всего просмотров:989
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание:

OPIE - пакет программ, позволяющий удаленную идентификацию через “одноразовые” пароли. Пользователь подтверждает подлинность, используя последовательность пред-сгенерированных паролей. Стандартная предосторожность защиты с любой системой входа в систему, чтобы не давать пользователю различить неправильный вход между вводом недопустимого пароля и недопустимой учетной записью.

При попытке входа в систему с несуществующей учетной записью OPIE выдает порядковый номер, который выбирается случайно. В результате, если повторные попытки соединяться с той же самой учетной записью будут приводить к разным ответам, это позволит понять нападающему, что такая учетная запись не существует.