Debian-Sicherheitsankündigung
DSA-1627-2 opensc -- Programmierfehler
- Datum des Berichts:
- 04. Aug 2008
- Betroffene Pakete:
- opensc
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2008-2235.
- Weitere Informationen:
-
Chaskiel M Grundman entdeckte, dass opensc, eine Bibliothek und Hilfsprograme für den Einsatz von Smart-Cards, alle Karten mit dem Betriebssystem Siemens CardOS M4 mit nicht angemessenen Zugriffsrechten initialisiert. Dadurch ist es jedermann möglich, die PIN der Karte zu ändern.
Dieser Fehler ermöglicht es jedermann, eine Benutzer-PIN zu ändern, selbst wenn er nicht im Besitz der PIN oder PUK beziehungsweise der Superuser-PIN oder -PUK ist. Es ist allerdings nicht möglich, die PIN auszulesen. Sollte also die PIN Ihrer Karte nicht ohne Ihr Wissen verändert worden sein, ist es unwahrscheinlich, dass jemand die Verwundbarkeit ausgenutzt hat.
Diese Verwundbarkeit betrifft nur Smart-Cards und USB-Crypto-Token, die auf Siemens CardOS M4 basieren, und innerhalb dieser Gruppe nur diejenigen Karten, die mit OpenSC initialisiert wurden. Benutzer anderer Smart-Cards und USB-Crypto-Tokens, oder Karten die mit anderer Software als OpenSC initialisiert wurden, sind nicht betroffen.
Nachdem Sie das Paket aktualisiert haben wird der Befehl
pkcs15-tool -Tanzeigen, ob Ihre Karte verwundbar ist. Sollte die Karte betroffen sein, ist es nötig, dass Sie die Sicherheitseinstellungen wie folgt ändern:pkcs15-tool -T -U.Für die Stable-Distribution (Etch) wurde dieses Problem in Version 0.11.1-2etch2 behoben.
Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 0.11.4-5 behoben.
Wir empfehlen Ihnen, Ihr opensc-Paket zu aktualisieren und Ihre Karten mit den oben angegebenen Befehlen zu überprüfen.
- Behoben in:
-
Debian GNU/Linux 4.0 (etch)
- Quellcode:
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2.diff.gz
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2.dsc
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_alpha.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_alpha.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_alpha.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_alpha.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_alpha.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_amd64.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_amd64.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_amd64.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_amd64.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_amd64.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_arm.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_arm.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_arm.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_arm.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_arm.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_hppa.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_hppa.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_hppa.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_hppa.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_hppa.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_i386.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_i386.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_i386.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_i386.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_i386.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_ia64.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_ia64.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_ia64.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_ia64.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_ia64.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_mips.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_mips.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_mips.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_mips.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_mips.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_mipsel.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_mipsel.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_mipsel.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_mipsel.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_mipsel.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_powerpc.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_powerpc.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_powerpc.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_powerpc.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_powerpc.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_s390.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_s390.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_s390.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_s390.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_s390.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_sparc.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_sparc.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_sparc.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_sparc.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_sparc.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.