| Summary | pkcs15-tool in OpenSC before 0.11.6 does not apply security updates to a smart card unless the card's label matches the "OpenSC" string, which might allow physically proximate attackers to exploit vulnerabilities that the card owner expected were patched, as demonstrated by exploitation of CVE-2008-2235. |
|---|---|
| Summary | Direct Patch Link - http://www.opensc-project.org/files/opensc/opensc-0.11.6.tar.gz |
| Publication Date | Sept. 11, 2008, 10:13 a.m. |
| Registration Date | Jan. 29, 2021, 1:41 p.m. |
| Last Update | Aug. 8, 2017, 10:32 a.m. |
| CVSS2.0 : MEDIUM | |
| Score | 6.6 |
|---|---|
| Vector | AV:L/AC:L/Au:N/C:N/I:C/A:C |
| 攻撃元区分(AV) | ローカル |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | なし |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | いいえ |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:opensc-project:opensc:0.4.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:opensc-project:opensc:0.5.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:opensc-project:opensc:0.6.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:opensc-project:opensc:0.6.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:opensc-project:opensc:0.7.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:opensc-project:opensc:0.8.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:opensc-project:opensc:0.8.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:opensc-project:opensc:0.9.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:opensc-project:opensc:0.9.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:opensc-project:opensc:0.9.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:opensc-project:opensc:0.9.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:opensc-project:opensc:0.9.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:opensc-project:opensc:0.10.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:opensc-project:opensc:0.10.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:opensc-project:opensc:0.11.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:opensc-project:opensc:0.11.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:opensc-project:opensc:0.11.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:opensc-project:opensc:0.11.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:opensc-project:opensc:0.11.3:pre3:*:*:*:*:*:* | |||||
| cpe:2.3:a:opensc-project:opensc:0.11.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:opensc-project:opensc:*:*:*:*:*:*:*:* | 0.11.5 | ||||
| execution environment | |||||
| 1 | cpe:2.3:o:siemens:cardos:m4:*:*:*:*:*:*:* | ||||
| Title | OpenSC の pkcs15-tool における脆弱性を悪用される脆弱性 |
|---|---|
| Summary | OpenSC の pkcs15-tool は、カード名が "OpenSC" の文字列に一致しない場合、スマートカードへセキュリティ更新プログラムを適用しないため、カード所有者がパッチを適用したと思っている脆弱性を悪用される脆弱性が存在します。 |
| Possible impacts | 攻撃者により、カード所有者がパッチを適用したと思っている脆弱性を悪用される可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | Aug. 27, 2008, midnight |
| Registration Date | Sept. 25, 2012, 5:17 p.m. |
| Last Update | Sept. 25, 2012, 5:17 p.m. |
| OpenSC team |
| OpenSC 0.11.6 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2012年09月25日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |