CVE ID:CVE-2012-6140
Google Authenticator项目是可用于多手机平台的生成一次性密码的软件实现,包含可用于可插拔验证模块(PAM)的实现。
Google Authenticator在某些配置下执行私钥/状态文件管理时存在一个安全漏洞,由于缺少’user='选项,私钥(SECRET)文件需要为用户可读,允许本地攻击者获得(预)共享client-to-authentication-server私钥,可能导致假冒其他用户账户。
0
Google Authenticator
厂商解决方案
用户可参考如下厂商提供的安全公告获得补丁信息:
https://code.google.com/p/google-authenticator/source/detail?r=c3414e9857ad64e52283f3266065ef3023fc69a8