Informazioni sul CVE-2025-24031
PAM-PKCS#11 vulnerable to segmentation fault on ctrl-c/ctrl-d when asked for PIN
CWE ID: CWE-476
Base Score (CVSS): 5.1
CVE: CVE-2025-24031
Descrizione: PAM-PKCS#11 è un modulo Linux-PAM per l’autenticazione di un utente basata su certificati X.509. In versioni 0.6.12 e precedenti, il modulo pam_pkcs11 si blocca quando un utente preme Ctrl-C/Ctrl-D per richiedere un PIN. Quando un utente inserisce una PIN non presente, `pam_get_pwd` non inizializza il puntatore al buffer della password e, di conseguenza, `cleanse` tenta di dereferenziare un puntatore non inizializzato. Sul mio sistema, questo puntatore appare in genere più volte quando esegue sudo e, di conseguenza, si blocca. L’impatto più probabile su un sistema colpito da questo problema è un impatto sull’accessibilità a causa di un daemon che si blocca. A tempo di pubblicazione, non è disponibile una patch per il problema.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/OpenSC/pam_pkcs11/security/advisories/GHSA-wvr3-c9x3-9mff
- https://github.com/OpenSC/pam_pkcs11/blob/bb2e3f3a95e44fdf44b0d5a4b377db3179021380/src/pam_pkcs11/pam_pkcs11.c#L211
- https://github.com/OpenSC/pam_pkcs11/blob/bb2e3f3a95e44fdf44b0d5a4b377db3179021380/src/pam_pkcs11/pam_pkcs11.c#L797
Prodotti interessati
- OpenSC – pam_pkcs11
Relazioni con altri prodotti
Produttore:OpenSC
Prodotto: pam_pkcs11
Anno: 2025
CWE: CWE-476
CVSS: 5.1