Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-01619

Опубликовано: 06 нояб. 2024
Источник: fstec
CVSS3: 9.4
CVSS2: 9.7
EPSS Низкий

Описание

Уязвимость функции pam_sm_authenticate() модуля аутентификации PAM-PKCS#11 операционных систем Linux связана с ошибками аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти процедуру аутентификации и получить несанкционированный доступ к защищаемой информации

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
OpenSC Project
АО «НТЦ ИТ РОСА»

Наименование ПО

РЕД ОС
Astra Linux Special Edition
PAM-PKCS#11
ROSA Virtualization 3.0

Версия ПО

7.3 (РЕД ОС)
1.8 (Astra Linux Special Edition)
0.6.12 (PAM-PKCS#11)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux -
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,7)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,4)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование многофакторной аутентификации;
- использование систем мониторинга событий для отслеживания попыток аутентификации.
Использование рекомендаций производителя:
https://github.com/OpenSC/pam_pkcs11/commit/2ecba68d404c3112546a9e802e3776b9f6c50a6a
https://github.com/OpenSC/pam_pkcs11/releases/tag/pam_pkcs11-0.6.13
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-pam-pkcs11-cve-2025-24531/?sphrase_id=835068
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2822
Для ОС Astra Linux:
обновить пакет pam-pkcs11 до 0.6.12-1+deb12u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 2%
0.00015
Низкий

9.4 Critical

CVSS3

9.7 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20250402-06

CVSS3: 9.4
redos
10 месяцев назад

Уязвимость pam_pkcs11

ubuntu логотип

CVE-2025-24531

CVSS3: 6.7
ubuntu
23 дня назад

In OpenSC pam_pkcs11 before 0.6.13, pam_sm_authenticate() wrongly returns PAM_IGNORE in many error situations (such as an error triggered by a smartcard before login), allowing authentication bypass.

nvd логотип

CVE-2025-24531

CVSS3: 6.7
nvd
23 дня назад

In OpenSC pam_pkcs11 before 0.6.13, pam_sm_authenticate() wrongly returns PAM_IGNORE in many error situations (such as an error triggered by a smartcard before login), allowing authentication bypass.

debian логотип

CVE-2025-24531

CVSS3: 6.7
debian
23 дня назад

In OpenSC pam_pkcs11 before 0.6.13, pam_sm_authenticate() wrongly retu ...

EPSS

Процентиль: 2%
0.00015
Низкий

9.4 Critical

CVSS3

9.7 Critical

CVSS2