OpenSC está en riesgo: ¡alerta de seguridad! Se han informado muchas vulnerabilidades de TI

hace 3 meses · Actualizado hace 3 meses

El aviso de seguridad publicado para OpenSC ha recibido una actualización de la BSI. Puede averiguar a qué deben prestar atención los usuarios afectados aquí.

Oficina Federal de Seguridad en Tecnología de la Información (BSI) el 29 de diciembre de 2024 emitió una actualización de un agujero de seguridad con múltiples vulnerabilidades para OpenSC que se conoció el 27 de septiembre de 2023. La vulnerabilidad de seguridad afecta a los sistemas operativos MacOS X y Windows, así como a Debian Linux, Amazon Linux 2, Red Hat Enterprise Linux, Fedora Linux, SUSE Linux, Oracle Linux, Gentoo Linux y productos OpenSC de código abierto.

Las últimas recomendaciones del fabricante con respecto a actualizaciones, correcciones y parches de seguridad para esta vulnerabilidad se pueden encontrar aquí: Aviso de seguridad de Debian DLA-4004 (Al 28 de diciembre de 2024). Otros recursos útiles se enumeran más adelante en este artículo.

Más información

Demasiada elegancia para OpenSC - Riesgo: bajo
Error de OpenSC: claridad y números CVE
Una descripción general de los sistemas afectados por la vulnerabilidad de seguridad OpenSC
Recomendaciones generales para abordar las vulnerabilidades de seguridad de TI
Fuentes de actualizaciones, parches y correcciones
La fecha de revisión de este aviso de seguridad.

Demasiada elegancia para OpenSC - Riesgo: bajo

Nivel de riesgo: 4 (bajo)
Punto central CVSS: 3.8
Puntuación provisional CVSS: 3,3
Ataque a distancia: No

El Sistema de puntuación de vulnerabilidad común (CVSS) se utiliza para evaluar la gravedad de las vulnerabilidades en los sistemas informáticos. El estándar CVSS permite comparar vulnerabilidades de seguridad reales o potenciales en función de varias métricas para crear una lista de prioridades para tomar medidas. Los atributos "ninguno", "bajo", "moderado", "alto" y "crítico" se utilizan para definir los niveles de gravedad de la vulnerabilidad. Baseline mide los requisitos de un ataque (incluida la precisión, la complejidad, los privilegios y la interacción del usuario) y sus consecuencias. La dimensión temporal también tiene en cuenta los cambios en la situación de riesgo a lo largo del tiempo. Según CVSS, el riesgo de la vulnerabilidad analizada aquí se califica como "bajo" con una puntuación base de 3,8.

Error de OpenSC: claridad y números CVE

OpenSC proporciona bibliotecas y herramientas para programar y utilizar tarjetas con chip.

Un atacante local puede aprovechar varias vulnerabilidades en OpenSC para eludir los mecanismos de seguridad y realizar un ataque no especificado.

La vulnerabilidad está etiquetada con los números de serie únicos de vulnerabilidades y exposiciones comunes (CVE) CVE-2023-40661, CVE-2023-4535 y CVE-2023-40660.

Una descripción general de los sistemas afectados por la vulnerabilidad de seguridad OpenSC

sistemas operativos
Mac OS X, Windows

Productos
Debian Linux (cpe:/o:debian:debian_linux)
Amazon Linux 2 (cpe:/o:amazon:linux_2)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Fedora Linux (cpe:/o:fedoraproject:fedora)
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
Gentoo Linux (cpe:/o:gentoo:linux)
OpenSC de código abierto <0.24.0-rc1 (cpe:/a:opensc:opensc)
Código abierto OpenSC 0.24.0-rc1 (cpe:/a:opensc:opensc)

Recomendaciones generales para abordar las vulnerabilidades de seguridad de TI

Los usuarios de las aplicaciones afectadas deben actualizarlas. Cuando se conocen agujeros de seguridad, los fabricantes deben solucionarlos lo más rápido posible mediante el desarrollo de un parche o solución. Si hay imperdibles, instálelos inmediatamente.
Para obtener información, consulte los recursos enumerados en la siguiente sección. Generalmente incluyen más información sobre la última versión del software en cuestión, así como la disponibilidad de parches de seguridad o consejos para la solución de problemas.
Si tiene más preguntas o inquietudes, comuníquese con su administrador responsable. Los administradores de seguridad de TI deben verificar periódicamente cuándo Conciencia de seguridad de TI Los fabricantes afectados proporcionan una nueva actualización de seguridad.

Fuentes de actualizaciones, parches y correcciones

Aquí encontrará enlaces adicionales con información sobre informes de errores, correcciones de seguridad y soluciones.

Aviso de seguridad de Debian DLA-4004 del 28 de diciembre de 2024 (29 de diciembre de 2024)
Puede encontrar más información aquí:

Aviso de seguridad de Gentoo Linux GLSA-202412-15 con fecha del 11 de diciembre de 2024 (10 de diciembre de 2024)
Puede encontrar más información aquí:

Aviso de seguridad de Oracle Linux ELSA-2023-7876 del 19 de diciembre de 2023 (19 de diciembre de 2023)
Puede encontrar más información aquí:

Aviso de seguridad de Oracle Linux ELSA-2023-7879 del 19 de diciembre de 2023 (19.12.2023)
Puede encontrar más información aquí:

Aviso de seguridad de Red Hat RHSA-2023: 7876 2023-12-19 (18 de diciembre de 2023)
Puede encontrar más información aquí:

Aviso de seguridad de Red Hat RHSA-2023: 7879 2023-12-18 (17 de diciembre de 2023)
Puede encontrar más información aquí:

Aviso de seguridad de Fedora FEDORA-2023-A854153D7A de fecha 2023-12-14 (14 de diciembre de 2023)
Puede encontrar más información aquí:

Aviso de seguridad de Fedora FEDORA-2023-C7E4C9AF51 de fecha 2023-12-14 (14 de diciembre de 2023)
Puede encontrar más información aquí:

Aviso de seguridad de Debian DLA-3668 del 27 de noviembre de 2023 (26.11.2023)
Puede encontrar más información aquí:

Aviso de seguridad de Amazon Linux ALAS2-2023-2323 de fecha 2023-11-02 (02.11.2023)
Puede encontrar más información aquí:

Actualización de seguridad de SUSE SUSE-SU-2023:4104-1 con fecha del 17 de octubre de 2023 (17.10.2023)
Puede encontrar más información aquí:

Actualización de seguridad de SUSE SUSE-SU-2023:4089-1 con fecha del 16 de octubre de 2023 (16.10.2023)
Puede encontrar más información aquí:

2023-09-25 Avisos de seguridad de OpenSC (27.09.2023)
Puede encontrar más información aquí:

La fecha de revisión de este aviso de seguridad.

Esta es la undécima versión de este boletín de seguridad de TI para OpenSC. Si se anuncian más actualizaciones, esta publicación se actualizará. Puede ver los cambios realizados utilizando el historial de versiones a continuación.

27 de septiembre de 2023 - Versión inicial
16 de octubre de 2023: se agregaron nuevas actualizaciones de SUSE
17 de octubre de 2023: se agregaron nuevas actualizaciones de SUSE
2 de noviembre de 2023: se agregaron nuevas actualizaciones de Amazon
26 de noviembre de 2023: se agregaron nuevas actualizaciones de Debian
14/12/2023 - Se agregaron nuevas actualizaciones de Fedora
17/12/2023: se agregaron nuevas actualizaciones de Red Hat
18/12/2023: se agregaron nuevas actualizaciones de Red Hat
19/12/2023: se agregaron nuevas actualizaciones de Oracle Linux
10/12/2024 - Se agregaron nuevas actualizaciones de Gentoo
29/12/2024 - Se agregaron nuevas actualizaciones de Debian

Más noticias

Seguridad: Linux Dangerous para información de seguridad para Dove (Riesgo: Medio)

Seguridad TI: Linux, MacOS X y UNIX en riesgo - Actualización de información de seguridad TI para PostgreSQL (riesgo: medio)

Seguridad: Linux viene a información de seguridad para el kernel de Linux (riesgo: medio)

Seguridad: amenazas de Windows

Saludos de San Valentín: hermosas frases e imágenes para enamorados para WhatsApp y compañía.

Seguridad de TI: Linux, MacOS X y Unix amenazaron con amenazar a la seguridad Gopal en Google Chrome / Microsoft Edge! Tiene advertencia de actualización

VMware Cloud Foundation: aviso de seguridad informática para una nueva vulnerabilidad

Seguridad TI: Linux es una amenaza - Actualización de la información de seguridad TI para el kernel de Linux (Riesgo: medio)

Red Hat Enterprise Linux (Quarkus): Advertencia de un nuevo Gulf de seguridad

Kernel de Linux: múltiples vulnerabilidades permiten ataques no especificados

Seguridad de TI: Linux y UNIX en riesgo: actualización de la información de seguridad de TI en Xen (riesgo: medio)

Seguridad de TI: Linux en riesgo - Actualizado para información de seguridad de TI para el kernel de Linux (Riesgo: medio)

El kernel de Linux está en riesgo: una vulnerabilidad permite la denegación de servicio

Seguridad: F5, Linux y Unix Endanger-Update para información de seguridad de Apache Tomcat (Riesgo: Medio)

Seguridad de TI: Linux es una amenaza: actualización de la información de seguridad de TI para poppler (riesgo: medio)

Es seguro: Linux y UNIX amenazando la información de seguridad para Perl (riesgo: medio)