Aviso de seguridad de Debian
DSA-1627-2 opensc -- Error de programación
- Fecha del informe:
- 4 de ago de 2008
- Paquetes afectados:
- opensc
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2008-2235.
- Información adicional:
-
Chaskiel M Grundman descubrió que opensc, la biblioteca y las utilidades para gestionar tarjetas inteligentes, inicializa con permisos incorrectos aquellas tarjetas inteligentes con el sistema operativo Siemens CardOS M4. Esto permitiría que cualquiera cambiase el PIN de la tarjeta.
Mediante este fallo, cualquiera puede cambiar un PIN de usuario sin necesidad de tener el PIN o el PUK, ni tampoco el PIN o el PUK del superusuario. Sin embargo, no se puede usar para descifrar el PIN. Si el PIN de su tarjeta es el mismo que siempre ha tenido, entonces es razonable asumir que esta vulnerabilidad no ha sido aprovechada.
Esta vulnerabilidad afecta sólo a tarjetas inteligentes y dispositivos USB criptográficos basados en Siemens CardOS M4, y dentro de ese grupo sólo aquellos que han sido inicializados con OpenSC. No están afectados aquellos usuarios de otras tarjetas inteligentes o dispositivos USB criptográficos, ni tarjetas que han sido inicializadas con un software diferente a OpenSC.
Después de actualizar el paquete puede ejecutar
pkcs15-tool -Tpara saber si la tarjeta es vulnerable o no. Si la tarjeta es vulnerable es necesario actualizar los parámetros de seguridad usandopkcs15-tool -T -U.Para la distribución estable (etch) este problema se ha resuelto en la versión 0.11.1-2etch2.
Para la distribución inestable (sid) este problema se ha resuelto en la versión 0.11.4-5.
Recomendamos que actualice el paquete opensc y compruebe su(s) tarjeta(s) con la orden descrita anteriormente.
- Arreglado en:
-
Debian GNU/Linux 4.0 (etch)
- Fuentes:
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2.diff.gz
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2.dsc
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_alpha.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_alpha.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_alpha.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_alpha.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_alpha.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_amd64.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_amd64.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_amd64.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_amd64.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_amd64.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_arm.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_arm.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_arm.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_arm.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_arm.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_hppa.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_hppa.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_hppa.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_hppa.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_hppa.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_i386.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_i386.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_i386.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_i386.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_i386.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_ia64.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_ia64.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_ia64.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_ia64.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_ia64.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_mips.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_mips.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_mips.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_mips.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_mips.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_mipsel.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_mipsel.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_mipsel.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_mipsel.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_mipsel.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_powerpc.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_powerpc.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_powerpc.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_powerpc.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_powerpc.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_s390.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_s390.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_s390.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_s390.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_s390.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_sparc.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_sparc.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_sparc.deb
- http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_sparc.deb
- http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_sparc.deb
- http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.