Mcdope

**Nome do Software Vulnerável e Versões Afetadas** pam usb versões anteriores a 0.9.0 **Descrição** Em `src/mem.c`, proteções contra falta de memória para as funções `xmalloc()`, `xrealloc()` e `xstrdup()` foram implementadas usando `assert(data != NULL)`. Como as expressões `assert()` são removidas durante a compilação quando `NDEBUG` é definido no momento da construção—uma prática comum em builds de lançamento e empacotamento para Debian, Fedora e Arch—essas proteções são eliminadas em tais versões. Consequentemente, essas funções retornam NULL em caso de falha de alocação, que é então desreferenciado sem verificação, resultando em uma desreferência de ponteiro NULL e no travamento do módulo PAM. Isso cria uma condição de negação de serviço local, na qual um invasor que induza pressão de memória durante a autenticação pode bloquear todos os usuários do `sudo` e `login`. **Recomendações** Atualize para a versão 0.9.0.

**Nome do Software Vulnerável e Versões Afetadas** pam usb versões anteriores a 0.9.0 **Description** A função `pusb pad compare()` em src/pad.c verifica apenas se o pad do lado do usuário (~/.pamusb/device.pad) pode ser lido, sem garantir que o pad do lado do sistema no dispositivo USB esteja presente e legível. Se o pad do usuário for excluído ou estiver ilegível, a função retorna uma falha que alguns caminhos de código tratam como não fatal, permitindo que a autenticação seja bem-sucedida sem a verificação do dispositivo USB. Consequentemente, um usuário local pode excluir seu próprio `~/.pamusb/device.pad` para ignorar a exigência do dispositivo USB físico. **Recommendations** Atualizar para a versão 0.9.0.

**Nome do Software Vulnerável e Versões Afetadas** pam usb versões anteriores a 0.9.0 **Description** O pam usb fornece autenticação de hardware para Linux usando mídias removíveis. O software constrói expressões XPath para consultar o arquivo `/etc/pamusb.conf` utilizando identificadores fornecidos pelo usuário (nome de usuário PAM, nome do serviço) e pelo dispositivo (número de série, modelo e fornecedor do dispositivo USB). Como esses identificadores não são validados para metacaracteres XPath, é possível injetar predicados XPath arbitrários. A injeção de XPath é uma técnica onde um invasor insere código malicioso em uma consulta XPath para manipular os dados retornados pela aplicação. **Recommendations** Atualize para a versão 0.9.0.

**Nome do Software Vulnerável e Versões Afetadas** pam usb versões anteriores a 0.9.0 **Description** Múltiplas ferramentas auxiliares no pam usb resolvem binários externos usando a variável de ambiente `PATH` em vez de caminhos absolutos. Um invasor capaz de influenciar o ambiente do processo durante a autenticação PAM ou a execução da ferramenta poderia substituir binários legítimos por maliciosos. As ferramentas afetadas incluem `pamusb-check` (src/tmux.c), `pamusb-conf` (tools/pamusb-conf) e `pamusb-keyring-unlock-gnome` (tools/pamusb-keyring-unlock-gnome). **Recommendations** Atualize para a versão 0.9.0.

**Nome do Software Vulnerável e Versões Afetadas** pam usb versões anteriores a 0.9.1 **Description** Quando um serviço PAM é configurado com `deny remote=false`, a verificação `PAM RHOST` dentro da função `pusb do auth()` é ignorada. `PAM RHOST` é uma variável utilizada por daemons remotos, como servidores sshd ou XDMCP, para identificar o endereço de um cliente remoto. Como essa verificação é controlada pela opção `deny remote`, conexões XDMCP remotas podem atingir a etapa de autenticação do dispositivo USB em vez de serem rejeitadas. **Recommendations** Atualizar para a versão 0.9.1.

**Nome do Software Vulnerável e Versões Afetadas** pam usb versões anteriores a 0.9.1 **Description** No arquivo `src/conf.c`, a memória heap é alocada proporcionalmente a `n devices`, uma contagem derivada da avaliação XPath do libxml2 do arquivo de configuração, sem a aplicação de um limite superior. Em alvos de 32 bits, como armv7l e i686, a multiplicação de `n devices` por `sizeof(t pusb device)` pode causar um wrap around em `size t`, fazendo com que o `xmalloc()` receba um tamanho muito pequeno. Como o `xmalloc()` apenas interrompe a execução em caso de retorno NULL, uma alocação pequena, porém não nula, é aceita, resultando em um estouro de buffer baseado em heap durante as gravações subsequentes de array. **Recommendations** Atualizar para a versão 0.9.1.

**Nome do Software Vulnerável e Versões Afetadas** pam usb versões anteriores a 0.9.1 **Description** Em `src/log.c`, um ponteiro estático de escopo de processo é gravado com o endereço de uma variável local de pilha durante cada invocação do PAM. Este comportamento viola o requisito de reentrada do PAM—a capacidade de uma função ser interrompida e chamada novamente de forma segura antes que sua invocação anterior tenha terminado—resultando em uma condição de corrida (data race) quando a pilha PAM é invocada simultaneamente por múltiplas threads. **Recommendations** Atualizar para a versão 0.9.1.

**Nome do Software Vulnerável e Versões Afetadas** pam usb versões anteriores a 0.9.1 **Descrição** No arquivo `src/evdev.c`, a função `pusb has virtual input device()` ignora silenciosamente erros EACCES ao abrir os nós `/dev/input/event*`. Esse comportamento faz com que a função retorne 0, indicando que nenhum dispositivo virtual foi encontrado, mesmo que todas as chamadas `open()` tenham falhado devido a permissões insuficientes. Consequentemente, o chamador em `src/local.c` não consegue diferenciar entre a ausência real de dispositivos virtuais e uma varredura bloqueada por negação de permissão, levando o sistema a continuar a autenticação sem negar o acesso. Isso desativa efetivamente a detecção de desktop remoto durante a execução sem privilégios de root. **Recomendações** Atualize para a versão 0.9.1.

**Nome do Software Vulnerável e Versões Afetadas** pam usb versões anteriores a 0.8.7 **Descrição** O pam usb fornece autenticação de hardware para Linux usando mídias removíveis. O componente `pamusb-pinentry` lê a variável de ambiente `PINENTRY FALLBACK APP` e a executa sem validação. Um processo capaz de definir variáveis de ambiente antes que o `pamusb-pinentry` seja invocado pode apontar a `PINENTRY FALLBACK APP` para um binário ou script arbitrário, resultando na execução com os privilégios da cadeia de ferramentas do pam usb. **Recomendações** Atualize para a versão 0.8.7.

**Nome do Software Vulnerável e Versões Afetadas** pam usb versões anteriores a 0.8.7 **Descrição** Em `src/device.c`, os valores de retorno das funções `udisks drive get serial()`, `udisks drive get vendor()` e `udisks drive get model()` são passados diretamente para `strcmp()` sem verificações de NULL. De acordo com a documentação da API GIO/UDisks, esses acessores podem retornar NULL para dispositivos que não expõem o campo correspondente. Passar um ponteiro NULL para `strcmp()` resulta em um comportamento indefinido, normalmente levando a um SIGSEGV (falha de segmentação), o que causa a falha do PAM e uma negação de serviço de login. **Recomendações** Atualizar para a versão 0.8.7.

**Nome do Software Vulnerável e Versões Afetadas** pam usb versões anteriores a 0.8.7 **Description** O pam usb fornece autenticação de hardware para Linux usando mídias removíveis comuns. Ataques de symlink no diretório pad e nos arquivos pad permitem a bypass de autenticação e a corrupção de arquivos root. **Recommendations** Atualize para a versão 0.8.7.

**Nome do Software Vulnerável e Versões Afetadas** pam usb versões anteriores a 0.8.7 **Descrição** Existe um problema no sistema de autenticação de hardware para Linux onde pode ocorrer a injeção de shell. Um UUID manipulado na configuração pode levar à execução remota de código como root quando o comando `pamusb-conf --reset-pads` é executado. Este payload pode ser injetado durante o processo `--add-device` por meio de um dispositivo USB com um UUID de sistema de arquivos manipulado. Além disso, a variável `userName` da configuração XML é passada para a função `os.system()` no `pamusb-agent`, que invoca um shell. **Recomendações** Atualizar para a versão 0.8.7.

**Nome do Software Vulnerável e Versões Afetadas** pam usb versões anteriores a 0.8.7 **Description** No arquivo `src/tmux.c`, o software lê a variável de ambiente `$TMUX`, a divide por vírgulas e interpola o componente socket-path diretamente em um comando de shell executado através da função `popen()`. Como o valor é colocado entre aspas duplas sem a devida sanitização, um invasor pode usar um caractere de aspas duplas para encerrar a string e injetar sintaxe de shell arbitrária. Este processo é executado com privilégios de root dentro da pilha PAM, podendo levar à execução remota de código. **Recommendations** Atualizar para a versão 0.8.7.

**Nome do Software Vulnerável e Versões Afetadas** pam usb versões anteriores a 0.9.0 **Descrição** O recurso `deny remote` classifica incorretamente conexões remotas IPv6 mapeadas para IPv4 como sessões locais. Isso ocorre porque o sistema verifica o campo `ut addr v6` do `utmpx` usando uma guarda `if (utent->ut addr v6[0] != 0)`, que valida apenas a primeira palavra de 32 bits do campo de endereço de 128 bits. Endereços IPv6 mapeados para IPv4 (::ffff:x.x.x.x) armazenam o endereço IPv4 em `ut addr v6[3]` enquanto `ut addr v6[0]` permanece como 0. Em sistemas onde o daemon SSH escuta no curinga IPv6 (::) com AddressFamily any, como em configurações comuns do Ubuntu e Debian, as conexões IPv4 recebidas são registradas como endereços IPv6 mapeados para IPv4. Consequentemente, o bloco de detecção remota é ignorado e a sessão é tratada como local, permitindo que a configuração `deny remote=true` seja ignorada. Um invasor com acesso físico a um dispositivo USB registrado pode se autenticar via SSH como se estivesse em um terminal local. **Recomendações** Atualizar para a versão 0.9.0.

**Nome do Software Vulnerável e Versões Afetadas** pam usb versões anteriores a 0.9.0 **Descrição** Este problema ocorre no recurso `deny remote` do módulo PAM, que é carregado em processos do host como sudo, login, GDM e GNOME Shell. Em ambientes multi-threaded como o GDM, três funções utilizam a função não reentrante `strtok()`. Como a `strtok()` armazena o estado em um único ponteiro global, threads de autenticação simultâneas podem entrar em condição de corrida, permitindo que uma thread sobrescreva o ponteiro de tokenização de outra. Isso leva à análise incorreta de varreduras de ambiente `/proc` ou dados de sessão do tmux usados para detecção de sessão remota. Além disso, a função `pusb tmux get client tty()` passa um ponteiro bruto de `getenv(TMUX)` diretamente para a `strtok()`. Como a `strtok()` insere bytes NUL no bloco de ambiente do processo ativo, a variável `TMUX` é permanentemente corrompida para todo o código subsequente naquele processo. Consequentemente, quando `deny remote=true` está configurado, o sistema pode tomar decisões de autenticação incorretas para sessões remotas ou locais, dependendo do entrelaçamento de threads. **Recomendações** Atualizar para a versão 0.9.0.