Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en un session_id en las funciones RAND_bytes()/RAND_pseudo_bytes() en libtac en pam_tacplus (CVE-2020-27743)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-330 Uso de valores insuficientemente aleatorios
Fecha de publicación:
26/10/2020
Última modificación:
02/11/2020

Descripción

libtac en pam_tacplus versiones hasta 1.5.1, carece de una comprobación para un fallo de las funciones RAND_bytes()/RAND_pseudo_bytes(). Esto podría conllevar al uso de un session_id no aleatorio y predecible

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:pam_tacplus_project:pam_tacplus:*:*:*:*:*:*:*:* 1.5.1 (incluyendo)