Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-03243

Опубликовано: 12 фев. 2024
Источник: fstec
CVSS3: 4.5
CVSS2: 3.7
EPSS Низкий

Описание

Уязвимость драйвера AuthentIC набора программных инструментов и библиотек для работы со смарт-картами OpenSC связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю скомпрометировать операции по управлению картами

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
АО «НТЦ ИТ РОСА»
OpenSC Project

Наименование ПО

РЕД ОС
Astra Linux Special Edition
Альт 8 СП
РОСА ХРОМ
АЛЬТ СП 10
Opensc

Версия ПО

7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
- (Альт 8 СП)
12.4 (РОСА ХРОМ)
- (АЛЬТ СП 10)
до 0.25.0-rc1 (Opensc)
1.8 (Astra Linux Special Edition)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «ИВК» Альт 8 СП -
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «ИВК» АЛЬТ СП 10 -
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,7)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,5)

Возможные меры по устранению уязвимости

Для OpenSC:
https://github.com/OpenSC/OpenSC/wiki/CVE-2024-1454
https://github.com/OpenSC/OpenSC/commit/5835f0d4f6c033bd58806d33fa546908d39825c9
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2581
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС Astra Linux:
обновить пакет opensc до 0.23.0-0.3+deb12u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
Для ОС Astra Linux:
обновить пакет opensc до 0.21.0-1+deb11u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Для ОС Astra Linux:
обновить пакет opensc до 0.21.0-1+deb11u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 24%
0.00079
Низкий

4.5 Medium

CVSS3

3.7 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-1454

CVSS3: 3.4
ubuntu
почти 2 года назад

The use-after-free vulnerability was found in the AuthentIC driver in OpenSC packages, occuring in the card enrolment process using pkcs15-init when a user or administrator enrols or modifies cards. An attacker must have physical access to the computer system and requires a crafted USB device or smart card to present the system with specially crafted responses to the APDUs, which are considered high complexity and low severity. This manipulation can allow for compromised card management operations during enrolment.

redhat логотип

CVE-2024-1454

CVSS3: 3.4
redhat
почти 2 года назад

The use-after-free vulnerability was found in the AuthentIC driver in OpenSC packages, occuring in the card enrolment process using pkcs15-init when a user or administrator enrols or modifies cards. An attacker must have physical access to the computer system and requires a crafted USB device or smart card to present the system with specially crafted responses to the APDUs, which are considered high complexity and low severity. This manipulation can allow for compromised card management operations during enrolment.

nvd логотип

CVE-2024-1454

CVSS3: 3.4
nvd
почти 2 года назад

The use-after-free vulnerability was found in the AuthentIC driver in OpenSC packages, occuring in the card enrolment process using pkcs15-init when a user or administrator enrols or modifies cards. An attacker must have physical access to the computer system and requires a crafted USB device or smart card to present the system with specially crafted responses to the APDUs, which are considered high complexity and low severity. This manipulation can allow for compromised card management operations during enrolment.

msrc логотип

CVE-2024-1454

CVSS3: 3.4
msrc
9 месяцев назад

Описание отсутствует

debian логотип

CVE-2024-1454

CVSS3: 3.4
debian
почти 2 года назад

The use-after-free vulnerability was found in the AuthentIC driver in ...

EPSS

Процентиль: 24%
0.00079
Низкий

4.5 Medium

CVSS3

3.7 Low

CVSS2