Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-03243

Опубликовано: 12 фев. 2024
Источник: fstec
CVSS3: 4.5
CVSS2: 3.7
EPSS Низкий

Описание

Уязвимость драйвера AuthentIC набора программных инструментов и библиотек для работы со смарт-картами OpenSC связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю скомпрометировать операции по управлению картами

Вендор

ООО «Ред Софт»
АО «ИВК»
АО «НТЦ ИТ РОСА»
OpenSC Project
ООО «РусБИТех-Астра»

Наименование ПО

РЕД ОС
Альт 8 СП
РОСА ХРОМ
АЛЬТ СП 10
Opensc
Astra Linux Special Edition

Версия ПО

7.3 (РЕД ОС)
- (Альт 8 СП)
12.4 (РОСА ХРОМ)
- (АЛЬТ СП 10)
до 0.25.0-rc1 (Opensc)
1.8 (Astra Linux Special Edition)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» Альт 8 СП -
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «ИВК» АЛЬТ СП 10 -
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,7)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,5)

Возможные меры по устранению уязвимости

Для OpenSC:
https://github.com/OpenSC/OpenSC/wiki/CVE-2024-1454
https://github.com/OpenSC/OpenSC/commit/5835f0d4f6c033bd58806d33fa546908d39825c9
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2581
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Astra Linux:
обновить пакет opensc до 0.23.0-0.3+deb12u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 19%
0.00061
Низкий

4.5 Medium

CVSS3

3.7 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-1454

CVSS3: 3.4
ubuntu
больше 1 года назад

The use-after-free vulnerability was found in the AuthentIC driver in OpenSC packages, occuring in the card enrolment process using pkcs15-init when a user or administrator enrols or modifies cards. An attacker must have physical access to the computer system and requires a crafted USB device or smart card to present the system with specially crafted responses to the APDUs, which are considered high complexity and low severity. This manipulation can allow for compromised card management operations during enrolment.

redhat логотип

CVE-2024-1454

CVSS3: 3.4
redhat
больше 1 года назад

The use-after-free vulnerability was found in the AuthentIC driver in OpenSC packages, occuring in the card enrolment process using pkcs15-init when a user or administrator enrols or modifies cards. An attacker must have physical access to the computer system and requires a crafted USB device or smart card to present the system with specially crafted responses to the APDUs, which are considered high complexity and low severity. This manipulation can allow for compromised card management operations during enrolment.

nvd логотип

CVE-2024-1454

CVSS3: 3.4
nvd
больше 1 года назад

The use-after-free vulnerability was found in the AuthentIC driver in OpenSC packages, occuring in the card enrolment process using pkcs15-init when a user or administrator enrols or modifies cards. An attacker must have physical access to the computer system and requires a crafted USB device or smart card to present the system with specially crafted responses to the APDUs, which are considered high complexity and low severity. This manipulation can allow for compromised card management operations during enrolment.

msrc логотип

CVE-2024-1454

CVSS3: 3.4
msrc
4 месяца назад

Описание отсутствует

debian логотип

CVE-2024-1454

CVSS3: 3.4
debian
больше 1 года назад

The use-after-free vulnerability was found in the AuthentIC driver in ...

EPSS

Процентиль: 19%
0.00061
Низкий

4.5 Medium

CVSS3

3.7 Low

CVSS2