Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02588

Опубликовано: 06 нояб. 2023
Источник: fstec
CVSS3: 6.4
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость набора программных инструментов и библиотек для работы со смарт-картами OpenSC связана с ошибками в памяти во время регистрации карт с использованием pkcs15-init. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
АО «НТЦ ИТ РОСА»
OpenSC Project

Наименование ПО

РЕД ОС
Astra Linux Special Edition
Альт 8 СП
ROSA Virtualization
РОСА ХРОМ
АЛЬТ СП 10
Opensc
ROSA Virtualization 3.0

Версия ПО

7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
2.1 (ROSA Virtualization)
12.4 (РОСА ХРОМ)
- (АЛЬТ СП 10)
до 0.23.0 включительно (Opensc)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «ИВК» АЛЬТ СП 10 -
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,4)

Возможные меры по устранению уязвимости

Для Opensc:
https://github.com/OpenSC/OpenSC/issues/2792#issuecomment-1674806651
https://github.com/OpenSC/OpenSC/releases/tag/0.24.0-rc1
https://github.com/OpenSC/OpenSC/wiki/OpenSC-security-advisories
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2580
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2752
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2729
Для ОС Astra Linux:
обновить пакет opensc до 0.21.0-1+deb11u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 55%
0.00321
Низкий

6.4 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-40661

CVSS3: 5.4
ubuntu
около 2 лет назад

Several memory vulnerabilities were identified within the OpenSC packages, particularly in the card enrollment process using pkcs15-init when a user or administrator enrolls cards. To take advantage of these flaws, an attacker must have physical access to the computer system and employ a custom-crafted USB device or smart card to manipulate responses to APDUs. This manipulation can potentially allow compromise key generation, certificate loading, and other card management operations during enrollment.

redhat логотип

CVE-2023-40661

CVSS3: 5.4
redhat
около 2 лет назад

Several memory vulnerabilities were identified within the OpenSC packages, particularly in the card enrollment process using pkcs15-init when a user or administrator enrolls cards. To take advantage of these flaws, an attacker must have physical access to the computer system and employ a custom-crafted USB device or smart card to manipulate responses to APDUs. This manipulation can potentially allow compromise key generation, certificate loading, and other card management operations during enrollment.

nvd логотип

CVE-2023-40661

CVSS3: 5.4
nvd
около 2 лет назад

Several memory vulnerabilities were identified within the OpenSC packages, particularly in the card enrollment process using pkcs15-init when a user or administrator enrolls cards. To take advantage of these flaws, an attacker must have physical access to the computer system and employ a custom-crafted USB device or smart card to manipulate responses to APDUs. This manipulation can potentially allow compromise key generation, certificate loading, and other card management operations during enrollment.

msrc логотип

CVE-2023-40661

CVSS3: 6.4
msrc
больше 1 года назад

Описание отсутствует

debian логотип

CVE-2023-40661

CVSS3: 5.4
debian
около 2 лет назад

Several memory vulnerabilities were identified within the OpenSC packa ...

EPSS

Процентиль: 55%
0.00321
Низкий

6.4 Medium

CVSS3

6.8 Medium

CVSS2