Рекомендация Debian по безопасности

DSA-1627-2 opensc -- ошибка программирования

Дата сообщения:
04.08.2008
Затронутые пакеты:
opensc
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2008-2235.
Более подробная информация:

Хаскель Грундман обнаружил, что opensc, библиотека и утилиты для работы со смарт-картами, инициализируют смарт-карты с карточной операционной системой Siemens CardOS M4 без соответствующих прав доступа. Это позволяет всем пользователям изменять PIN карты.

Используя эту ошибку, всякий может изменить PIN пользователя, не имея соответствующих PIN или PUK, либо PIN или PUK суперпользователя. Тем не менее, эта ошибка не может использоваться для определения PIN. Если PIN на вашей карте тот же, то скорее всего эта уязвимость против вас не была использована.

Эта уязвимость касается только смарт-карт и USB-токенов шифрования на основе Siemens CardOS M4, а к этой группе только тех, которые инициализируются с помощью OpenSC. Пользователи других смарт-карт и USB-токенов шифрования, либо карт, которые инициализируются отличным от OpenSC ПО, неподвержены этой уязвимости.

После обновления пакета запуск команды pkcs15-tool -T покажет вам, уязвима ли ваша карта. Если карта уязвима, то вам нужно обновить настройки безопасности, используя следующую команду: pkcs15-tool -T -U.

В стабильном выпуске (etch) эта проблема была исправлена в версии 0.11.1-2etch2.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 0.11.4-5.

Рекомендуется обновить пакет opensc и проверить вашу карту/ваши карты с помощью описанной выше команды.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1.orig.tar.gz
http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2.diff.gz
http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2.dsc
Alpha:
http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_alpha.deb
http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_alpha.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_alpha.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_alpha.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_amd64.deb
http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_amd64.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_amd64.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_amd64.deb
http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_arm.deb
http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_arm.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_arm.deb
http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_arm.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_hppa.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_hppa.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_hppa.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_hppa.deb
http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_i386.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_i386.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_i386.deb
http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_i386.deb
http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_ia64.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_ia64.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_ia64.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_ia64.deb
http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_mips.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_mips.deb
http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_mips.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_mips.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_mipsel.deb
http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_mipsel.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_mipsel.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_mipsel.deb
http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_powerpc.deb
http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_powerpc.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_powerpc.deb
http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_powerpc.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_s390.deb
http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_s390.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_s390.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_s390.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/o/opensc/libopensc2_0.11.1-2etch2_sparc.deb
http://security.debian.org/pool/updates/main/o/opensc/opensc_0.11.1-2etch2_sparc.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dev_0.11.1-2etch2_sparc.deb
http://security.debian.org/pool/updates/main/o/opensc/mozilla-opensc_0.11.1-2etch2_sparc.deb
http://security.debian.org/pool/updates/main/o/opensc/libopensc2-dbg_0.11.1-2etch2_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.