BDU:2024-11083
ООО «Ред Софт», Red Hat Inc., АО «ИВК», OpenSC Project, Сообщество свободного программного обеспечен Red Hat Enterprise Linux, АЛЬТ СП 10, Astra Linux Special Edition, Debian GNU/Linux, РЕД ОС, Opensc
2024-05-12
Уязвимость функции openpgp_generate_key_rsa() утилиты персонализации смарт-карт pkcs15-init набора программных инструментов и библиотек для работы со смарт-картами OpenSC связана с выходом операции за границы буфера в памяти в процессе генерации ключей. Эксплуатация уязвимости может позволить нарушителю обойти ограничения безопасности и выполнить произвольный код
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для OpenSC: https://github.com/OpenSC/OpenSC/commit/02e847458369c08421fd2d5e9a16a5f272c2de9e https://github.com/OpenSC/OpenSC/commit/b28a3cef416fcfb92fbb9ea7fd3c71df52c6c9fc https://github.com/OpenSC/OpenSC/compare/092eea05df975a8680b354d90c8c0aae90ed8de1...865cb43a8c81b1a8a0a44f0d439b0d50494084a5 https://github.com/OpenSC/OpenSC/releases/tag/0.26.0
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2024-8443
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2024-8443
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Astra Linux: обновить пакет opensc до 0.23.0-0.3+deb12u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
Для ОС Astra Linux: обновить пакет opensc до 0.21.0-1+deb11u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Для ОС Astra Linux: обновить пакет opensc до 0.21.0-1+deb11u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47