OpenSC: Vulnerabilidad permite divulgación de información

hace 3 meses · Actualizado hace 3 meses

Se ha publicado para OpenSC una actualización de aviso de seguridad de TI para una vulnerabilidad conocida. Puede leer una descripción de la vulnerabilidad de seguridad aquí junto con las últimas actualizaciones e información sobre los sistemas operativos y productos afectados.

Oficina Federal de Seguridad en Tecnología de la Información (BSI) el 29 de diciembre de 2024 publicó una actualización sobre una vulnerabilidad de seguridad para OpenSC que se identificó el 30 de enero de 2024. La vulnerabilidad de seguridad afecta al sistema operativo Linux, así como a los productos Debian Linux, Amazon Linux 2, Red Hat Enterprise Linux, Fedora Linux, SUSE Linux, Oracle Linux, EMC Avamar, Dell NetWorker y OpenSC OpenSC.

Las últimas recomendaciones del fabricante con respecto a actualizaciones, correcciones y parches de seguridad para esta vulnerabilidad se pueden encontrar aquí: Aviso de seguridad de Debian DLA-4004 (Al 28 de diciembre de 2024). Otros enlaces útiles se enumeran más adelante en este artículo.

Más información

Declaración de seguridad para OpenSC - Riesgo: medio
Error de OpenSC: la vulnerabilidad permite que se divulgue información
Una descripción general de los sistemas afectados por la vulnerabilidad de seguridad OpenSC
Recomendaciones generales para abordar las vulnerabilidades de seguridad de TI
Fuentes de actualizaciones, parches y correcciones
La fecha de revisión de este aviso de seguridad.

Declaración de seguridad para OpenSC - Riesgo: medio

Nivel de riesgo: 2 (medio)
Cláusula básica CVSS: 5.6
Puntuación provisional CVSS: 4,9
Ataque a distancia: Sí

El Sistema de puntuación de vulnerabilidad común (CVSS) se utiliza para evaluar la gravedad de las vulnerabilidades en los sistemas informáticos. El estándar CVSS permite comparar vulnerabilidades de seguridad potenciales o reales en función de diferentes métricas para evitar contramedidas. Los atributos "ninguno", "bajo", "moderado", "alto" y "crítico" se utilizan para definir los niveles de gravedad de la vulnerabilidad. Baseline mide los requisitos de un ataque (incluida la precisión, la complejidad, los privilegios y la interacción del usuario) y sus consecuencias. La dimensión temporal también tiene en cuenta los cambios en la situación de riesgo a lo largo del tiempo. El riesgo de malignidad discutido aquí se clasifica como "moderado" según el CVSS con una puntuación inicial de 5,6.

Error de OpenSC: la vulnerabilidad permite que se divulgue información

OpenSC proporciona bibliotecas y herramientas para programar y utilizar tarjetas con chip.

Un atacante remoto y desconocido podría aprovechar una vulnerabilidad en OpenSC para revelar información.

La vulnerabilidad se comercializa con el número de serie único de vulnerabilidades y exposiciones comunes (CVE) CVE-2023-5992.

Una descripción general de los sistemas afectados por la vulnerabilidad de seguridad OpenSC

Sistema operativo
linux

Productos
Debian Linux (cpe:/o:debian:debian_linux)
Amazon Linux 2 (cpe:/o:amazon:linux_2)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Fedora Linux (cpe:/o:fedoraproject:fedora)
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
EMC Avamar (cpe:/a:emc:avamar)
Dell NetWorker (cpe:/a:dell:networker)
OpenSC de código abierto <0.24.0 (cpe:/a:opensc:opensc)
Código abierto OpenSC 0.24.0 (cpe:/a:opensc:opensc)

Recomendaciones generales para abordar las vulnerabilidades de seguridad de TI

Los usuarios de los sistemas afectados deben actualizarlos. Cuando se conocen agujeros de seguridad, los fabricantes deben solucionarlos lo más rápido posible mediante el desarrollo de un parche o solución. Si hay imperdibles, instálelos inmediatamente.
Para obtener información, consulte los recursos enumerados en la siguiente sección. Generalmente incluyen más información sobre la última versión del software en cuestión, así como la disponibilidad de parches de seguridad o consejos para la solución de problemas.
Si tiene más preguntas o inquietudes, comuníquese con su administrador responsable. Los administradores de seguridad de TI deben verificar periódicamente los recursos enumerados para ver si hay una nueva actualización de seguridad disponible.

Fuentes de actualizaciones, parches y correcciones

Aquí encontrará enlaces adicionales con información sobre informes de errores, correcciones de seguridad y soluciones.

Aviso de seguridad de Debian DLA-4004 del 28 de diciembre de 2024 (29 de diciembre de 2024)
Puede encontrar más información aquí:

Aviso de seguridad de Dell DSA-2024-348 con fecha del 6 de agosto de 2024 (05.08.2024)
Puede encontrar más información aquí:

Actualización de seguridad de SUSE SUSE-SU-2024:1402-2 con fecha del 1 de agosto de 2024 (31 de julio de 2024)
Puede encontrar más información aquí:

Aviso de seguridad de Amazon Linux ALAS-2024-2566 2024-06-12 (11 de junio de 2024)
Puede encontrar más información aquí:

Actualización de seguridad de SUSE SUSE-SU-2024:1773-1 con fecha del 24 de mayo de 2024 (26.05.2024)
Puede encontrar más información aquí:

Actualización de seguridad de SUSE SUSE-SU-2024:1625-1 con fecha del 13 de mayo de 2024 (13.05.2024)
Puede encontrar más información aquí:

Actualización de seguridad de SUSE SUSE-SU-2024:1402-1 con fecha del 23 de abril de 2024 (23.04.2024)
Puede encontrar más información aquí:

Aviso de seguridad de Fedora FEDORA-2024-3DBC3E8105 2024-03-07 (03.07.2024)
Puede encontrar más información aquí:

Aviso de seguridad de Fedora FEDORA-2024-B92D44F141 2024-03-07 (03.07.2024)
Puede encontrar más información aquí:

Aviso de seguridad de Fedora FEDORA-2024-6460A03E29 2024-03-07 (03.07.2024)
Puede encontrar más información aquí:

Aviso de seguridad de Oracle Linux ELSA-2024-0967 2024-02-27 (26.02.2024)
Puede encontrar más información aquí:

Aviso de seguridad de Oracle Linux ELSA-2024-0966 2024-02-26 (26.02.2024)
Puede encontrar más información aquí:

Aviso de seguridad de Red Hat RHSA-2024:0967 2024-02-26 (25.02.2024)
Puede encontrar más información aquí:

Aviso de seguridad de Red Hat RHSA-2024: 0966 2024-02-26 (25.02.2024)
Puede encontrar más información aquí:

OpenSC Github del 30 de enero de 2024 (30.01.2024)
Puede encontrar más información aquí:

Seguridad del producto RedHat a partir del 30 de enero de 2024 (30.01.2024)
Puede encontrar más información aquí:

La fecha de revisión de este aviso de seguridad.

Esta es la undécima versión de este boletín de seguridad de TI para OpenSC. Si se anuncian más actualizaciones, esta publicación se actualizará. Puede ver los cambios realizados utilizando el historial de versiones a continuación.

30 de enero de 2024 - Versión inicial
25/02/2024 - Se agregaron nuevas actualizaciones de Red Hat
26/02/2024 - Se agregaron nuevas actualizaciones de Oracle Linux
07/03/2024 - Se agregaron nuevas actualizaciones de Fedora
23 de abril de 2024: se agregaron nuevas actualizaciones de SUSE
13 de mayo de 2024: se agregaron nuevas actualizaciones de SUSE
26 de mayo de 2024: se agregaron nuevas actualizaciones de SUSE
11 de junio de 2024: se agregaron nuevas actualizaciones de Amazon
31 de julio de 2024: se agregaron nuevas actualizaciones de SUSE
05/08/2024: se agregaron nuevas actualizaciones de Dell
29/12/2024 - Se agregaron nuevas actualizaciones de Debian

Más noticias

Saludos navideños para WhatsApp y compañía: los mejores deseos y frases para el nuevo año

Ruby: la vulnerabilidad permite la denegación de servicio

Cambiar Moxa (eds, ICS, IKS y SDS): ¡NUEVA GABE DE SEGURIDAD! El punto débil niega la negación del servicio

vim: La vulnerabilidad permite la denegación de servicio

Seguridad de TI: Linux es una amenaza: actualización de la información de seguridad de TI para poppler (riesgo: medio)

Seguridad informática: Linux está en riesgo: ¡el agujero de seguridad informática en el kernel de Linux corre un gran riesgo! La alerta está recibiendo actualizaciones.

Keycloak: una nota sobre la nueva brecha de seguridad

Apache Tomcat: ¡Vulnerabilidad de seguridad informática con un gran riesgo! La alerta está recibiendo actualizaciones.

Seguridad TI: Linux, MacOS X y UNIX en riesgo - Actualización de información de seguridad TI para PostgreSQL (riesgo: medio)

Seguridad de TI: UNIX y Windows amenazados: detalles sobre la nueva brecha de seguridad de TI en ffmpeg

Seguridad TI: Linux es una amenaza - Actualización de la información de seguridad TI para el kernel de Linux (Riesgo: medio)

Es seguro: Linux y UNIX Dangerous-Upd para información de seguridad que del rojo desarrollado (Risit: Medium)

IBM App Connect Enterprise: nueva divulgación de vulnerabilidad de seguridad de TI

Seguridad de TI: Amenazas para Linux, MacOS X y UNIX - Actualización de la información de seguridad de TI en OpenSC (Riesgo: medio)

Ruby: ¡Nuevo brecha de seguridad! El punto débil niega la negación del servicio

El acceso remoto privilegiado de BeyondTrust está en riesgo: la vulnerabilidad permite ejecutar comandos arbitrarios