—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2010-4523 – Schwachstelle in OpenSC bis Version 0.11.13
In der Bibliothek OpenSC Version bis 0.11.13 sind Schwachstellen in
einigen Geraete-Treibern fuer Smart-Cards vorhanden. Das Problem
entsteht dadurch, dass die Werte fuer die Serien-Nummern der Karten
nicht korrekt verarbeitet werden. Dies kann dazu fuehren, dass spezielle
konstruierte Werte zu einem Speicherueberlauf fuehren, so dass ein
lokaler Benutzer Befehle mit den Rechten des Programms ‘opensc-tool’,
bzw. ‘opensc-explorer’ ausfuehren kann. Die Voraussetzung dafuer ist
eine speziell manipulierte Smart-Card.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket opensc
Fedora 14, Fedora 13
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Timo Schulz
– —
Timo Schulz, B.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-19193
2010-12-22 19:33:40
– ——————————————————————————–
Name : opensc
Product : Fedora 13
Version : 0.11.13
Release : 6.fc13
URL : http://www.opensc-project.org/opensc/
Summary : Smart card library and applications
Description :
OpenSC is a package for for accessing smart card devices. Basic
functionality (e.g. SELECT FILE, READ BINARY) should work on any ISO
7816-4 compatible smart card. Encryption and decryption using private
keys on the smart card is possible with PKCS #15 compatible cards,
such as the FINEID (Finnish Electronic IDentity) card. Swedish Posten
eID cards have also been confirmed to work.
– ——————————————————————————–
Update Information:
Fixes CVE-2010-4523 – buffer overflow when some kinds of specially crafted rogue smart cards are used.
– ——————————————————————————–
ChangeLog:
* Tue Dec 21 2010 Tomas Mraz
– – fix buffer overflow on rogue card serial numbers
* Tue Oct 19 2010 Tomas Mraz
– – own the _libdir/pkcs11 subdirectory (#644527)
* Tue Sep 7 2010 Tomas Mraz
– – fix build with new pcsc-lite
* Wed Aug 11 2010 Rex Dieter
– – build against libassuan1 (f14+)
* Wed Jun 9 2010 Tomas Mraz
– – replace file dependency (#601943)
– ——————————————————————————–
References:
[ 1 ] Bug #664831 – CVE-2010-4523 OpenSC: Three stack-based buffer overflows, when processing crafted serial numbers of certain cards
https://bugzilla.redhat.com/show_bug.cgi?id=664831
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update opensc’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)
iQEcBAEBAgAGBQJNIwkoAAoJEJtyb8U7iGZBQkYIAJfGpCIncUG3o+K+JMES42t9
kgRN0GZNkazvRXyTZbP1L1oPMEDlS4uoNjFTsAXs+Kqw8n2SigfQg97ywrw9Vpz2
4DrDsZqrrTLmhTnTG7bpwkxoA0GNugV708gABTJDSzyHon+Sn5/jHoUyD29cGgcW
ltxnbSm09wJ4QcYvPB1uEJjbpmwFnhPxQPqWNn/X7synKtbpzlLLn5MjwPtOTA4Q
HfGZemCuoStZ95iYaVXi9k3h7UnnKHEcGgsKuEbrvrCVsrQUWHA6BNMQWbjd/R5/
O3g3p4vple57jkQQI6NyhaOfH5//BAR9j4zMiGKrWPrAPdpvs2nCqSCb+84ZGwE=
=DVlY
—–END PGP SIGNATURE—–
