DFN-CERT-2013-0350 Schwachstelle im USB Chip/Smart Card Interface Devices (CCID) Treiber [Linux][RedHat]

DFN-CERT-2013-0350 Schwachstelle im USB Chip/Smart Card Interface Devices (CCID) Treiber [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket ccid

Betroffene Plattformen:

Red Hat Enterprise Linux Desktop (v. 6) – i386, x86_64
Red Hat Enterprise Linux HPC Node Optional (v. 6) – x86_64
Red Hat Enterprise Linux Server (v. 6) – i386, ppc64, x86_64
Red Hat Enterprise Linux Workstation (v. 6) – i386, x86_64

Eine Schwachstelle in ccid erlaubt es einem lokalen Angreifer beliebige
Befehle mit den Rechten des pcsc-Diensts auszuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

https://rhn.redhat.com

CVE-2010-4530: Schwachstelle in ccid

In ccid ist die Funktion get_bytes() in ccid_serial.c anfällig für einen
Integer Overflow, weil nicht gerpüft wird, ob der Wert für den Parameter
‘length’ negativ ist. Ein lokaler Angreifer kann dies ausnutzen, um
beliebigen Code mit den Rechten des PCSC-Diensts durchzuführen, indem eine
Smart-Card verwendet wird, die eine speziell präparierte Seriennummer hat.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0350/

Das Hersteller Advisory:
https://rhn.redhat.com/errata/RHSA-2013-0523.html

Schwachstelle CVE-2010-4530:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4530

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben