OpenSC: Vulnerabilidad permite la ejecución de código

hace 3 meses · Actualizado hace 3 meses

El aviso de seguridad publicado para OpenSC ha recibido una actualización de la BSI. Puede leer una descripción de la vulnerabilidad de seguridad aquí junto con las últimas actualizaciones e información sobre los sistemas operativos y productos afectados.

Oficina Federal de Seguridad La Oficina de Tecnología de la Información (BSI) emitió una actualización el 29 de diciembre de 2024 para una vulnerabilidad de seguridad para OpenSC que se descubrió el 8 de septiembre de 2024. La vulnerabilidad de seguridad afecta al sistema operativo Linux, así como a los productos Debian Linux, SUSE Linux y OpenSC de código abierto.

Las últimas recomendaciones del fabricante con respecto a actualizaciones, correcciones y parches de seguridad para esta vulnerabilidad se pueden encontrar aquí: Aviso de seguridad de Debian DLA-4004 (Al 28 de diciembre de 2024). Otros recursos útiles se enumeran más adelante en este artículo.

Más información

Advertencia de seguridad para OpenSC - Riesgo: bajo
Error de OpenSC: la vulnerabilidad permite la ejecución de código
Una descripción general de los sistemas afectados por la vulnerabilidad de seguridad OpenSC
Recomendaciones generales para abordar las vulnerabilidades de seguridad de TI
Información del fabricante sobre actualizaciones, parches y soluciones
La fecha de revisión de este aviso de seguridad.

Advertencia de seguridad para OpenSC - Riesgo: bajo

Nivel de riesgo: 4 (bajo)
Punto básico CVSS: 3.4
Puntuación provisional CVSS: 3,1
Ataque a distancia: No

El Sistema Común de Puntuación de Vulnerabilidad (CVSS) se utiliza para evaluar la vulnerabilidad de los sistemas informáticos. El estándar CVSS permite comparar vulnerabilidades de seguridad potenciales o reales en función de diferentes métricas para evitar contramedidas. Los atributos "ninguno", "bajo", "moderado", "alto" y "crítico" se utilizan para definir los niveles de gravedad de la vulnerabilidad. Baseline mide los requisitos de un ataque (incluida la precisión, la complejidad, los privilegios y la interacción del usuario) y sus consecuencias. La dimensión temporal también tiene en cuenta los cambios en la situación de riesgo a lo largo del tiempo. Según la CVSS, el riesgo de pobreza aquí analizado se califica como "bajo" con una escala base de 3,4.

Error de OpenSC: la vulnerabilidad permite la ejecución de código

OpenSC proporciona bibliotecas y herramientas para programar y utilizar tarjetas con chip.

Un atacante con acceso físico puede aprovechar una vulnerabilidad en OpenSC para ejecutar código arbitrario.

La vulnerabilidad se comercializa con el número de serie único de vulnerabilidades y exposiciones comunes (CVE) CVE-2024-8443.

Una descripción general de los sistemas afectados por la vulnerabilidad de seguridad OpenSC

Sistema operativo
linux

Productos
Debian Linux (cpe:/o:debian:debian_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
OpenSC de código abierto (cpe:/a:opensc:opensc)

Recomendaciones generales para abordar las vulnerabilidades de seguridad de TI

Los usuarios de las aplicaciones afectadas deben actualizarlas. Cuando se conocen agujeros de seguridad, los fabricantes deben solucionarlos lo más rápido posible mediante el desarrollo de un parche o solución. Si hay imperdibles, instálelos inmediatamente.
Para obtener información, consulte los recursos enumerados en la siguiente sección. Generalmente incluyen más información sobre la última versión del software en cuestión, así como la disponibilidad de parches de seguridad o consejos para la solución de problemas.
Si tiene más preguntas o inquietudes, comuníquese con su administrador responsable. Los administradores de seguridad de TI deben verificar periódicamente los recursos enumerados para ver si hay una nueva actualización de seguridad disponible.

Información del fabricante sobre actualizaciones, parches y soluciones

Aquí encontrará enlaces adicionales con información sobre informes de errores, correcciones de seguridad y soluciones.

Aviso de seguridad de Debian DLA-4004 del 28 de diciembre de 2024 (29 de diciembre de 2024)
Puede encontrar más información aquí:

Actualización de seguridad de SUSE SUSE-SU-2024:3517-1 con fecha del 3 de octubre de 2024 (03.10.2024)
Puede encontrar más información aquí:

Actualización de seguridad de SUSE SUSE-SU-2024:3445-1 con fecha del 25 de septiembre de 2024 (25.09.2024)
Puede encontrar más información aquí:

Actualización de seguridad de SUSE SUSE-SU-2024:3444-1 con fecha del 25 de septiembre de 2024 (25.09.2024)
Puede encontrar más información aquí:

Actualización de seguridad de SUSE SUSE-SU-2024:3443-1 con fecha del 25 de septiembre de 2024 (25.09.2024)
Puede encontrar más información aquí:

Red Hat Bugzilla a partir del 2024-09-08 (08.09.2024)
Puede encontrar más información aquí:

La fecha de revisión de este aviso de seguridad.

Esta es la quinta versión de este boletín de seguridad informática para OpenSC. Si se anuncian más actualizaciones, esta publicación se actualizará. Puede leer sobre los cambios o adiciones en el historial de esta versión.

08/09/2024 - Versión inicial
11/09/2024 - Han llegado los parches
25/09/2024 - Se agregaron nuevas actualizaciones de SUSE
03/10/2024: se agregaron nuevas actualizaciones de SUSE
29/12/2024 - Se agregaron nuevas actualizaciones de Debian

Más noticias

Golang Go "FIPS OpenSSL": la vulnerabilidad permite un ataque no especificado

Seguridad TI: BIOS/firmware y hardware en riesgo - Alerta de seguridad TI sobre nueva vulnerabilidad en PaloAlto PAN-OS Network

Seguridad TI: Linux y UNIX en riesgo: ¡la brecha de seguridad TI en PowerDNS está en gran riesgo! La alerta está recibiendo actualizaciones.

Seguridad de TI: Apéndice, CISCO Desktop y F5 Network están en riesgo - Actualización de la información de seguridad de TI en OpenSSL (Riesgo: medio)

Seguridad de TI: Linux es una amenaza: actualización de la información de seguridad de TI para poppler (riesgo: medio)

bluez: ¡un agujero de seguridad TI de alto riesgo! La alerta está recibiendo actualizaciones.

Ruby: la vulnerabilidad permite la denegación de servicio

Red Hat Enterprise Linux (Quarkus): Advertencia de un nuevo Gulf de seguridad

WLAN IEEE 802.11: la vulnerabilidad permite eludir las medidas de seguridad

Microsoft Windows: Actualización para advertencia de seguridad de TI (riesgo: crítico)

Calendario Escolar 2024-25 en Madrid

Kernel de Linux: la vulnerabilidad permite la denegación de servicio

Servidor de base de datos Oracle: ¡Nueva vulnerabilidad de seguridad! Linux y UNIX se ven afectados

Seguridad de TI: Linux está en riesgo: actualización de la información de seguridad de TI para poppler (riesgo: medio)

XEN, Citrix XenServer e Hypervisor: Vulnerabilidad provoca denegación de servicio

Seguridad TI: Linux, MacOS X y Windows en riesgo: actualización de la información de seguridad de TI para Golang Go (x/net/html) (Riesgo: medio)