Mulder

Nome do Software Vulnerável e Versões Afetadas: Versões do Himmelblau de 0.9.10 a 0.9.16 Descrição: Uma vulnerabilidade no Himmelblau permite que um usuário se autentique em um host Linux utilizando um PIN Hello do Linux inválido quando o host está offline. Este problema surge de uma premissa incorreta na função `acquire token by hello for business key`, que não retorna um erro `TPMFail` para uma chave Hello inválida quando offline. Em vez disso, o sistema transita para um estado de sucesso offline sem validar o desbloqueio da chave Hello. Isso afeta sistemas que utilizam o Himmelblau para autenticação com a autenticação por PIN Hello habilitada quando operam em estado offline. Recomendações: Para as versões do Himmelblau de 0.9.10 a 0.9.16, atualize para a versão 0.9.17 para resolver o problema. Como solução temporária para usuários que não podem atualizar imediatamente, desabilite a autenticação por PIN Hello definindo `enable hello = false` em `/etc/himmelblau/himmelblau.conf` para mitigar a vulnerabilidade.