漏洞标题
N/A
漏洞描述信息
Debian Shadow 1:4.5-1 之前的版本中,Shadow 的 /etc/securetty 文件错误地将 pts/0 和 pts/1 标记为物理终端。这允许本地用户以无密码用户身份登录,即使他们是通过 SSH 等非物理方式连接的(因此绕过 PAM 的 nullok_secure 配置)。这显著影响了使用默认空白 root 密码自动生成的虚拟机环境,从而使所有本地用户能够升级权限。
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The Debian shadow package before 1:4.5-1 for Shadow incorrectly lists pts/0 and pts/1 as physical terminals in /etc/securetty. This allows local users to login as password-less users even if they are connected by non-physical means such as SSH (hence bypassing PAM's nullok_secure configuration). This notably affects environments such as virtual machines automatically generated with a default blank root password, allowing all local users to escalate privileges.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
shadow 安全漏洞
漏洞描述信息
shadow是一套用于维护Debian系统的工具套件。 Debian shadow package before 4.5-1 存在安全漏洞,该漏洞允许本地用户作为无密码用户登录,允许所有本地用户升级特权。
CVSS信息
N/A
漏洞类别
其他