Fecha de reporte: 4 Ago 2008

Paquetes afectados: opensc

Más información: Chaskiel M Grundman descubrió que opensc, una librería y utilidades para manejar tarjetas inteligentes, tendía a inicializar tarjetas inteligentes con el sistema operativo para tarjetas inteligentes Siemens CardOS M4 sin los derechos de acceso correctos. Esto permitió a cualquiera cambiar el PIN de la tarjeta.

Con este bug cualquiera pudo cambiar el PIN de un usuario sin tener el PIN o PUK o el PIN o el PUK del superusuario. Sin embargo, no puede utilizarse para averiguar el PIN. Si el PIN en su tarjeta es aún el mismo que usted siempre tuvo, hay una resonable posibilidad de que esta vulnerabilidad no ha sido explotada.

Esta vulnerabilidad afecta únicamente a las tarjetas inteligentes y fichas criptograficas USB basadas en Siemens CardOS M4, y dentro de este grupo solo aquellas que eran inicializadas con OpenSC. Usuarios de otras tarjetas inteligentes y fichas criptograficas USB, o tarjetas que han sido inicializadas con un software distinto a OpenSC, no son afectados.

Luego de actualiza rel paquetes, ejecutar

pkcs15-tool -T

le dirá si la tarjeta está bien o es vulnerable. Si la tarjeta es vulnerable, deberá actualizar la seguridad ejecutando:

pkcs15-tool -T -U

Para la distribución estable (etch), este problema ha sido arreglado en la versión 0.11.1-2etch1.

Para la distribución inestable (sid), este problema ha sido arreglado en la versión 0.11.4-4.

Le recomendamos actualizar tu paquetes opensc 0.11.1-2etch1 y verificar su(s) tarjeta(s) con el comando antes descripto.

Original (en inglés): http://lists.debian.org/debian-security-announce/2008/msg00212.html