ГлавнаяБаза уязвимостей БДУ → BDU:2024-02589
7.2высокая

BDU:2024-02589

Уязвимость набора программных инструментов и библиотек для работы со смарт-картами OpenSC, связанная с неправильной аутентификацией, позволяющая нарушителю получить несанкционированный доступ, выполнить произвольные действия или скомпрометировать систему
Опубликовано: 2024-04-04
Описание

Уязвимость набора программных инструментов и библиотек для работы со смарт-картами OpenSC связана с тем, что аутентификация токена/карты одним процессом может выполнять криптографические операции в других процессах при передаче пустого PIN-кода нулевой длины. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ, выполнить произвольные действия или скомпрометировать систему

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПROSA Virtualization (2.1)РОСА ХРОМ (12.4)АЛЬТ СП 10Opensc (до 0.23.0 включительно)ROSA Virtualization 3.0 (3.0)
Способ устранения

Для Opensc:
https://github.com/OpenSC/OpenSC/issues/2792#issuecomment-1674806651
https://github.com/OpenSC/OpenSC/releases/tag/0.24.0-rc1
https://github.com/OpenSC/OpenSC/wiki/OpenSC-security-advisories

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2580

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2752

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2729

Для ОС Astra Linux:
обновить пакет opensc до 0.21.0-1+deb11u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:
обновить пакет opensc до 0.21.0-1+deb11u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://github.com/OpenSC/OpenSC/issues/2792#issuecomment-1674806651https://github.com/OpenSC/OpenSC/releases/tag/0.24.0-rc1https://github.com/OpenSC/OpenSC/wiki/OpenSC-security-advisorieshttps://redos.red-soft.ru/support/secure/https://altsp.su/obnovleniya-bezopasnosti/https://abf.rosa.ru/advisories/ROSA-SA-2025-2580https://abf.rosa.ru/advisories/ROSA-SA-2025-2752https://abf.rosa.ru/advisories/ROSA-SA-2025-2729
Проверьте безопасность своего сайта и почты → Полная проверка домена