BDU:2024-02589
ООО «Ред Софт», АО «ИВК», OpenSC Project, АО «НТЦ ИТ РОСА», ООО «РусБИТех-Астра» Альт 8 СП, АЛЬТ СП 10, Astra Linux Special Edition, ROSA Virtualization 3.0, ROSA Virtualization, РЕ
2023-11-06
Уязвимость набора программных инструментов и библиотек для работы со смарт-картами OpenSC связана с тем, что аутентификация токена/карты одним процессом может выполнять криптографические операции в других процессах при передаче пустого PIN-кода нулевой длины. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ, выполнить произвольные действия или скомпрометировать систему
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для Opensc: https://github.com/OpenSC/OpenSC/issues/2792#issuecomment-1674806651 https://github.com/OpenSC/OpenSC/releases/tag/0.24.0-rc1 https://github.com/OpenSC/OpenSC/wiki/OpenSC-security-advisories
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2580
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2752
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2729
Для ОС Astra Linux: обновить пакет opensc до 0.21.0-1+deb11u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Для ОС Astra Linux: обновить пакет opensc до 0.21.0-1+deb11u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47