CVE-2020-15000

Dispositivos Yubico YubiKey 5, versões 5.2.0 a 5.2.6

Foi detectado um problema no gerenciamento de PIN nos dispositivos Yubico YubiKey 5. A falha envolve o OpenPGP, que possui três senhas: PIN de administrador, código de redefinição e PIN de usuário. O Código de Reinicialização, usado para reinicializar o PIN do Usuário, está desativado por padrão. No entanto, uma falha na implementação do OpenPGP define o Código de Reinicialização para um valor conhecido durante a inicialização. Se o contador de tentativas para o Código de Reinicialização for definido como diferente de zero sem alterar o Código de Reinicialização, esse valor conhecido pode ser usado para reinicializar o PIN do Usuário, exigindo o PIN de Administrador para definir os contadores de tentativas.

Para dispositivos Yubico YubiKey 5 nas versões 5.2.0 a 5.2.6, atualize o dispositivo para uma versão em que o Código de Reinicialização seja inicializado corretamente ou altere o Código de Reinicialização após definir o contador de tentativas para impedir a reinicialização não autorizada do PIN do Usuário. Como solução alternativa temporária, considere restringir o acesso ao PIN de Administrador para minimizar o risco de exploração.