Debian dla-4004 : opensc - 安全性更新
high Nessus Plugin ID 213413
語言:
概要
遠端 Debian 主機上缺少一個或多個安全性更新。說明
遠端 Debian 11 主機上安裝的多個套件受到 dla-4004 公告中提及的多個弱點影響。------------------------------------------------------------------------- Debian LTS 公告 DLA-4004-1 [email protected] https://www.debian.org/lts/security/Guilhem Moulin 2024 年 12 月 28 日https://wiki.debian.org/LTS-------------------------------------------------------------------------
套件:opensc 版本: 0.21.0-1+deb11u1 CVE ID: CVE-2021-34193 CVE-2021-42778 CVE-2021-42779 CVE-2021-42780 CVE-2021-42781 CVE-2021-42782 CVE-2023-2977 CVE-2023-5992 CVE-2023-40660 CVE-2023-40661 CVE-2024-1454 CVE-2024-8443 CVE-2024-45615 CVE-2024-45616 CVE-2024-45617 CVE-2024-45618 CVE-2024-45619 CVE-2024-45620 Debian 錯誤: 1037021 1055521 1055522 1064189 1082853 1082859 1082860 1082861 1082862 1082863 1082864
在 opensc (一組用於存取智慧卡的程式庫和公用程式) 中發現多個弱點,可導致應用程式損毀、資訊洩漏或 PIN 繞過。
CVE-2021-34193
在 OpenSC 智慧卡中介軟體中,透過對 APDU 的特製回應發現多個堆疊溢位弱點。
CVE-2021-42778
發現 sc_pkcs15_free_tokeninfo() 存在堆積重複釋放問題。
CVE-2021-42779
發現 sc_file_valid() 存在堆積釋放後使用問題。
CVE-2021-42780
發現 insert_pin() 函式存在傳回後使用問題,這可能造成使用庫的程式損毀。
CVE-2021-42781
發現 pkcs15-oberthur.c 存在多個堆積緩衝區溢位問題,這可能導致使用庫的程式損毀。
CVE-2021-42782
發現多個位置存在多個緩衝區溢位問題,這可能導致使用庫的程式損毀。
CVE-2023-2977
發現 pkcs15 的 cardos_have_verifyrc_package() 中存在緩衝區溢位弱點。當智慧卡套件中包含格式錯誤的 ASN.1 背景資訊時,攻擊者可透過堆積型緩衝區超出邊界讀取,觸發當機或資訊洩漏。
CVE-2023-5992
Alicja Karion 發現,處理 PKCS#1.5 加密填補移除的程式碼並未以防側通道的方式實作,這可能導致先前擷取的 RSA 加密文字遭到解密,攻擊者也可以根據計時資料偽造簽章 (Marvin 攻擊)。
CVE-2023-40660
Deepanjan Pal 發現潛在的空白 PIN 繞過問題。
將權杖/卡插入電腦並從某處理程序進行驗證時,如果提供空白的零長度 PIN,使用者就可利用此問題從處理程序進行密碼編譯作業。
CVE-2023-40661
動態分析器在 pkcs15-init 中發現多個記憶體弱點。
CVE-2024-1454
更新權杖資訊時,在 AuthentIC 驅動程式中發現記憶體釋放後使用問題。
CVE-2024-8443
金鑰產生期間,在 OpenPGP 驅動程式中發現一個堆積緩衝區溢位問題。
CVE-2024-45615
Matteo Marini 發現 libopensc 和 pkcs15init 中有多個未初始化值使用情形。
CVE-2024-45616
Matteo Marini 發現在 libopensc 中不正確檢查或使用 APDU 回應值後,多次出現未初始化值使用情形。
CVE-2024-45617
Matteo Marini 發現在 libopensc 中由於對函式傳回值檢查不當或未檢查,因此多次出現未初始化值使用情形。
CVE-2024-45618
Matteo Marini 發現在 pkcs15init 中由於對函式傳回值檢查不當或未檢查,因此多次出現未初始化值使用情形。
CVE-2024-45619
Matteo Marini 發現 libopensc 中多個緩衝區長度或檔案處理錯誤,可能導致應用程式損毀或資訊洩漏。當緩衝區部分填滿資料時,可能會錯誤存取緩衝區的未初始化部分。
CVE-2024-45620
Matteo Marini 發現 pkcs15init 中多個緩衝區長度或檔案處理錯誤,可能導致應用程式損毀或資訊洩漏。當緩衝區部分填滿資料時,可能會錯誤存取緩衝區的未初始化部分。
針對 Debian 11 bullseye,已在 0.21.0-1+deb11u1 版本中修正這些問題。
建議您升級 opensc 套件。
如需有關 opensc 安全性狀態的詳細資訊,請參閱其安全追蹤頁面:
https://security-tracker.debian.org/tracker/opensc
有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊,請參閱:https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP 簽章
Tenable 已直接從 Debian 安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級 opensc 套件。另請參閱
https://security-tracker.debian.org/tracker/source-package/opensc
https://security-tracker.debian.org/tracker/CVE-2021-34193
https://security-tracker.debian.org/tracker/CVE-2021-42778
https://security-tracker.debian.org/tracker/CVE-2021-42779
https://security-tracker.debian.org/tracker/CVE-2021-42780
https://security-tracker.debian.org/tracker/CVE-2021-42781
https://security-tracker.debian.org/tracker/CVE-2021-42782
https://security-tracker.debian.org/tracker/CVE-2023-2977
https://security-tracker.debian.org/tracker/CVE-2023-40660
https://security-tracker.debian.org/tracker/CVE-2023-40661
https://security-tracker.debian.org/tracker/CVE-2023-5992
https://security-tracker.debian.org/tracker/CVE-2024-1454
https://security-tracker.debian.org/tracker/CVE-2024-45615
https://security-tracker.debian.org/tracker/CVE-2024-45616
https://security-tracker.debian.org/tracker/CVE-2024-45617
https://security-tracker.debian.org/tracker/CVE-2024-45618
https://security-tracker.debian.org/tracker/CVE-2024-45619
https://security-tracker.debian.org/tracker/CVE-2024-45620
Plugin 詳細資訊
嚴重性: High
ID: 213413
檔案名稱: debian_DLA-4004.nasl
版本: 1.1
類型: local
代理程式: unix
已發布: 2024/12/28
已更新: 2024/12/28
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: Medium
基本分數: 5
時間性分數: 3.9
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS 評分資料來源: CVE-2021-42782
CVSS v3
風險因素: High
基本分數: 7.1
時間性分數: 6.4
媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS 評分資料來源: CVE-2023-2977
弱點資訊
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:opensc, p-cpe:/a:debian:debian_linux:opensc-pkcs11
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2024/12/28
弱點發布日期: 2022/4/12
參考資訊
CVE: CVE-2021-34193, CVE-2021-42778, CVE-2021-42779, CVE-2021-42780, CVE-2021-42781, CVE-2021-42782, CVE-2023-2977, CVE-2023-40660, CVE-2023-40661, CVE-2023-5992, CVE-2024-1454, CVE-2024-45615, CVE-2024-45616, CVE-2024-45617, CVE-2024-45618, CVE-2024-45619, CVE-2024-45620, CVE-2024-8443