Shadow-utils: possible password leak during passwd(1) change 漏洞信息(CVE-2023-4641)

一、漏洞 CVE-2023-4641 基础信息

漏洞标题

Shadow-utils: passwd(1)更改期间可能泄漏密码

来源：AIGC 神龙大模型

漏洞描述信息

在 shadow-utils 中发现了一个漏洞。在要求创建新密码时，shadow-utils 会要求输入两次密码。如果第二次尝试时密码失败，shadow-utils 会在清理用于存储第一个条目的缓冲区时失败。这可能导致拥有足够权限的黑客从内存中获取密码。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

来源：AIGC 神龙大模型

漏洞类别

不充分的凭证保护机制

来源：AIGC 神龙大模型

漏洞标题

Shadow-utils: possible password leak during passwd(1) change

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A flaw was found in shadow-utils. When asking for a new password, shadow-utils asks the password twice. If the password fails on the second attempt, shadow-utils fails in cleaning the buffer used to store the first entry. This may allow an attacker with enough access to retrieve the password from the memory.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

认证算法的不正确实现

来源：美国国家漏洞数据库 NVD

漏洞标题

shadow 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

shadow是一套用于维护Debian系统的工具套件。 shadow-utils存在安全漏洞，该漏洞源于无法清理用于存储第一个条目的缓冲区，这可能允许具有足够访问权限的攻击者从内存中检索密码。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2023-4641 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2023-4641 的情报信息

https://access.redhat.com/security/cve/CVE-2023-4641 vdb-entry x_refsource_REDHAT
https://bugzilla.redhat.com/show_bug.cgi?id=2215945 issue-tracking x_refsource_REDHAT
https://access.redhat.com/errata/RHSA-2023:6632 vendor-advisory x_refsource_REDHAT
https://access.redhat.com/errata/RHSA-2023:7112 vendor-advisory x_refsource_REDHAT
https://access.redhat.com/errata/RHSA-2024:0417 vendor-advisory x_refsource_REDHAT
https://access.redhat.com/errata/RHSA-2024:2577 vendor-advisory x_refsource_REDHAT
https://nvd.nist.gov/vuln/detail/CVE-2023-4641

一、 漏洞 CVE-2023-4641 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2023-4641 的公开POC

三、漏洞 CVE-2023-4641 的情报信息

一、漏洞 CVE-2023-4641 基础信息