Chaskiel M Grundman さんにより、スマートカードを操作するライブラリとユー ティリティ群 opensc が、スマートカードを適切なアクセス権限の検証なしに Siemens CardOS M4 カードオペレーティングシステムで初期化することが発見さ れました。これにより、誰でもカードの PIN が変更可能です。
このバグのため、ユーザ PIN または PUK の知識や、スーパユーザの PIN や PUK の知識なしにユーザ PIN を、誰でも変更可能です。但し、この欠陥により PIN を割り出すことはできません。もし使用しているカードの PIN が以前のもの と同じならば、この欠陥を攻撃されていないと考えられます。
この欠陥は、Siemens CardOS M4 を使ったスマートカードと USB 暗号トークンの みに影響があり、そのなかでもとくに OpenSC を用いて初期化されたグループの みが対象です。それ以外のスマートカードと USB 暗号トークンのユーザ、または OpenSC 以外のソフトウェアで初期化されたカードにはこの欠陥はありません。
パッケージのアップグレード後、以下のコマンドを実行すれば、カードに問題が
ないか、攻撃されているかの判断が行えます。
pkcs15-tool -T
もし、カードが攻撃されていた場合、セキュリティ設定を以下のコマンドで更新
する必要があります。
pkcs15-tool -T -U.
安定版 (stable) ディストリビューション (etch) では、この問題はバージョン 0.11.1-2etch2 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョ ン 0.11.4-5 で修正されています。
直ぐに opensc パッケージをアップグレードし、上記のコマンド でカードをチェックすることを勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。