В util-linux обнаружена ошибка. Неправильная канонизация имени хоста в утилите `login(1)` при вызове с опцией `-h` может изменить предоставленное имя удаленного хоста перед установкой `PAM_RHOST`. Удаленный злоумышленник может воспользоваться этим, предоставив специально созданное имя хоста, потенциально обойдя правила контроля доступа подключаемых модулей аутентификации (PAM) на основе хоста, которые основаны на полных доменных именах.
Это может привести к несанкционированному доступу.
Показать оригинальное описание (EN)
A flaw was found in util-linux. Improper hostname canonicalization in the `login(1)` utility, when invoked with the `-h` option, can modify the supplied remote hostname before setting `PAM_RHOST`. A remote attacker could exploit this by providing a specially crafted hostname, potentially bypassing host-based Pluggable Authentication Modules (PAM) access control rules that rely on fully qualified domain names. This could lead to unauthorized access.
Характеристики атаки
Последствия
Строка CVSS v3.1