Amazon Linux 2：opensc (ALAS-2023-2262)

medium Nessus 插件 ID 181721

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 opensc 版本低于 0.19.0-5。因此，它受到 ALAS2-2023-2262 公告中提及的多个漏洞影响。

- 在 libopensc/asn1.c 的 asn1_decode_entry 中，0.20.0-rc1 之前的 OpenSC 存在对 ASN.1 Bitstring 的越界访问。(CVE-2019-15945)

- 在 libopensc/asn1.c 的 asn1_decode_entry 中，0.20.0-rc1 之前的 OpenSC 存在对 ASN.1 八进制字符串的越界访问。(CVE-2019-15946)

- 在 0.19.0 及之前和 0.20.x 到 0.20.0-rc3 的 OpenSC 中发现一个问题。libopensc/card-setcos.c 在解析 SETCOS 文件属性期间出现不正确的读取操作。(CVE-2019-19479)

- 在 0.20.0 之前的 OpenSC 中，coolkey_free_private_data 存在双重释放，这是因为 libopensc/card-coolkey.c 中的 coolkey_add_object 缺少唯一性检查。(CVE-2019-20792)

- 0.21.0-rc1 之前的 OpenSC 中的 Oberthur 智能卡软件驱动程序在 sc_oberthur_read_file 中存在基于堆的缓冲区溢出。(CVE-2020-26570)

- 0.21.0-rc1 之前的 OpenSC 中的 gemsafe GPK 智能卡软件驱动程序在 sc_pkcs15emu_gemsafeGPK_init 中存在基于堆栈的缓冲区溢出。(CVE-2020-26571)

- 0.21.0-rc1 之前的 OpenSC 中的 TCOS 智能卡软件驱动程序在 tcos_decipher 中存在基于堆栈的缓冲区溢出。(CVE-2020-26572)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。