Информация по безопасности / 2019 / Информация о безопасности -- DSA-4389-1 libu2f-host

Рекомендация Debian по безопасности

DSA-4389-1 libu2f-host -- обновление безопасности

Дата сообщения:

11.02.2019

Затронутые пакеты:

libu2f-host

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 921725.
В каталоге Mitre CVE: CVE-2018-20340.

Более подробная информация:

Кристиан Райтер обнаружил, что libu2f-host, библиотека, реализующая протокол U2F на стороне узла, неправильно выполняет проверку на предмет возникновения переполнения буфера. Это позволяет злоумышленнику, обладающему собственным вредоносным USB-устройством, замаскированным под ключ безопасности, и имеющему физический доступ к компьютеру, на котором имеется поддержка PAM U2F или приложение с интегрированной libu2f-host, потенциально выполнять произвольный код.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 1.1.2-2+deb9u1.

Рекомендуется обновить пакеты libu2f-host.

С подробным статусом поддержки безопасности libu2f-host можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/libu2f-host