Chaskiel M Grundman descubrió que opensc, la biblioteca y las utilidades para gestionar tarjetas inteligentes, inicializa con permisos incorrectos aquellas tarjetas inteligentes con el sistema operativo Siemens CardOS M4. Esto permitiría que cualquiera cambiase el PIN de la tarjeta.
Mediante este fallo, cualquiera puede cambiar un PIN de usuario sin necesidad de tener el PIN o el PUK, ni tampoco el PIN o el PUK del superusuario. Sin embargo, no se puede usar para descifrar el PIN. Si el PIN de su tarjeta es el mismo que siempre ha tenido, entonces es razonable asumir que esta vulnerabilidad no ha sido aprovechada.
Esta vulnerabilidad afecta sólo a tarjetas inteligentes y dispositivos USB criptográficos basados en Siemens CardOS M4, y dentro de ese grupo sólo aquellos que han sido inicializados con OpenSC. No están afectados aquellos usuarios de otras tarjetas inteligentes o dispositivos USB criptográficos, ni tarjetas que han sido inicializadas con un software diferente a OpenSC.
Después de actualizar el paquete puede ejecutar
pkcs15-tool -T para saber si la tarjeta es
vulnerable o no. Si la tarjeta es vulnerable es necesario actualizar
los parámetros de seguridad usando
pkcs15-tool -T -U.
Para la distribución estable (etch) este problema se ha resuelto en la versión 0.11.1-2etch1.
Para la distribución inestable (sid) este problema se ha resuelto en la versión 0.11.4-4.
Recomendamos que actualice el paquete opensc y compruebe su(s) tarjeta(s) con la orden descrita anteriormente.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.