ГлавнаяБаза уязвимостей БДУ → BDU:2024-11083
2.6средняя

BDU:2024-11083 (CVE-2024-8443)

Уязвимость функции openpgp_generate_key_rsa() утилиты персонализации смарт-карт pkcs15-init набора программных инструментов и библиотек для работы со смарт-картами OpenSC, позволяющая нарушителю обойти ограничения безопасности и выполнить произвольный код
Опубликовано: 2024-12-12
Описание

Уязвимость функции openpgp_generate_key_rsa() утилиты персонализации смарт-карт pkcs15-init набора программных инструментов и библиотек для работы со смарт-картами OpenSC связана с выходом операции за границы буфера в памяти в процессе генерации ключей. Эксплуатация уязвимости может позволить нарушителю обойти ограничения безопасности и выполнить произвольный код

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (7)Red Hat Enterprise Linux (8)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Red Hat Enterprise Linux (9)АЛЬТ СП 10Astra Linux Special Edition (1.8)Opensc (от 0.25.1 до 0.26.0)
Способ устранения

Использование рекомендаций:
Для OpenSC:
https://github.com/OpenSC/OpenSC/commit/02e847458369c08421fd2d5e9a16a5f272c2de9e
https://github.com/OpenSC/OpenSC/commit/b28a3cef416fcfb92fbb9ea7fd3c71df52c6c9fc
https://github.com/OpenSC/OpenSC/compare/092eea05df975a8680b354d90c8c0aae90ed8de1...865cb43a8c81b1a8a0a44f0d439b0d50494084a5
https://github.com/OpenSC/OpenSC/releases/tag/0.26.0

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-8443

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-8443

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:
обновить пакет opensc до 0.23.0-0.3+deb12u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18

Для ОС Astra Linux:
обновить пакет opensc до 0.21.0-1+deb11u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС Astra Linux:
обновить пакет opensc до 0.21.0-1+deb11u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Оценка CVSS
Балл2.6 — средняя опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2024-8443https://github.com/OpenSC/OpenSC/wiki/CVE-2024-8443https://nvd.nist.gov/vuln/detail/CVE-2024-8443https://redos.red-soft.ru/support/secure/https://github.com/OpenSC/OpenSC/wiki/CVE-2024-8443https://github.com/OpenSC/OpenSC/commit/02e847458369c08421fd2d5e9a16a5f272c2de9ehttps://github.com/OpenSC/OpenSC/commit/b28a3cef416fcfb92fbb9ea7fd3c71df52c6c9fchttps://issues.oss-fuzz.com/issues/42535468
Проверьте безопасность своего сайта и почты → Полная проверка домена