Vulnerabilità: CVE-2020-13131

Un problema è stato scoperto nel Yubico libykpiv prima 2.1.0. lib / util.c in questa biblioteca (che è incluso nella Yubico-PIV-tool) non verifica correttamente i campi di lunghezza incorporati durante la comunicazione del dispositivo. Un token PIV malintenzionato può misreport i campi di lunghezza restituito durante la generazione di chiavi RSA. Ciò causerà memoria pila da copiare nella memoria allocata mucchio che viene restituito al chiamante. La memoria persa potrebbe includere PIN, password, materiale chiave, e altre informazioni sensibili a seconda della integrazione. Durante l’ulteriore elaborazione da parte del chiamante, queste informazioni potrebbero fuoriuscire attraverso i confini di fiducia. Si noti che la generazione di chiavi RSA è innescato da l’host e non può essere direttamente attivato dal token.


https://www.yubico.com/products/services-software/download/smart-card-drivers-tools/
https://blog.inhq.net/posts/yubico-libykpiv-vuln/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13131


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi