La mayor comunidad de Debian en español

Principal

DSA-1627-2 opensc -- Verificación incompleta

Imagen de Point_to_null

By Point_to_null- Publicado31 Agosto 2008

Fecha del reporte: 31 Ago 2008

Paquetes afectados: opensc

Más información: La actualización de seguridad previa para opensc tiene una verificación demasiado estricta para tarjetas inteligentes vulnerables. Esto pudo marcar tarjetas como seguras aunque pudieran ser infectadas. Esta actualización corrige el problema. Aconsejamos a los usuarios de las tarjetas inteligentes interesados re-testear sus tarjetas luego de actualizar el paquete, siguiendo el procedimiento esbozado en el advisory anuncio original:


Chaskiel M Grundman descubrió que opensc, una librería y utilidades para manejar tarjetas inteligentes, tendía a inicializar tarjetas inteligentes con el sistema operativo para tarjetas inteligentes Siemens CardOS M4 sin los derechos de acceso correctos. Esto permitió a cualquiera cambiar el PIN de la tarjeta.

Con este bug cualquiera pudo cambiar el PIN de un usuario sin tener el PIN o PUK o el PIN o el PUK del superusuario. Sin embargo, no puede utilizarse para averiguar el PIN. Si el PIN en su tarjeta es aún el mismo que usted siempre tuvo, hay una resonable posibilidad de que esta vulnerabilidad no ha sido explotada.

Esta vulnerabilidad afecta únicamente a las tarjetas inteligentes y fichas criptograficas USB basadas en Siemens CardOS M4, y dentro de este grupo solo aquellas que eran inicializadas con OpenSC. Usuarios de otras tarjetas inteligentes y fichas criptograficas USB, o tarjetas que han sido inicializadas con un software distinto a OpenSC, no son afectados.

Luego de actualiza rel paquetes, ejecutar

pkcs15-tool -T

le dirá si la tarjeta está bien o es vulnerable. Si la tarjeta es vulnerable, deberá actualizar la seguridad ejecutando:

pkcs15-tool -T -U

Para la distribución estable (etch), este problema ha sido arreglado en la versión 0.11.1-2etch2.

Para la distribución inestable (sid), este problema ha sido arreglado en la versión 0.11.4-5.

Le recomendamos actualizar su paquete opensc y verificar sus tarjetas con el procedimiento que se ha descrito anteriormente.



Original (en inglés): http://lists.debian.org/debian-security-announce/2008/msg00221.html

Tags

Relacionado con DSA-1627-2 opensc -- Verificación incompleta

Buscador

Búsqueda avanzada

Inicio de sesión

Navegación

Avisos de seguridad de Debian

más

Encuesta

¿Que haces cuando tienes un problema?
Utilizo google hasta para encontrar la hora
70%
Leo los manuales hasta hartarme
8%
Utilizo esDebian que para algo está
15%
Esto con windows no pasaba
3%
Formateo
0%
Mirar en las listas de correo y bug tracker
0%
Ninguna de las anteriores
5%
Total de votos: 66

Temas nuevos

más

En línea

En este momento hay 7 usuarios y 17 invitados en línea.

Usuarios en línea