CVE-2021-31924

Versões do Yubico pam-u2f anteriores à 1.1.1

O problema está relacionado a uma falha de lógica no pam-u2f que poderia levar à contornamento do PIN local, dependendo da configuração do pam-u2f e do aplicativo utilizado. Isso não permite que a verificação da presença do usuário ou da assinatura criptográfica seja contornada; portanto, um invasor ainda precisaria possuir fisicamente e interagir com o YubiKey ou outro autenticador registrado. Se o pam-u2f estiver configurado para exigir autenticação por PIN e o aplicativo que utiliza o pam-u2f permitir que o usuário insira NULL como PIN, o pam-u2f tentará realizar uma autenticação FIDO2 sem PIN. Se essa autenticação for bem-sucedida, a exigência do PIN será contornada.

Para versões anteriores à 1.1.1, atualize para a versão 1.1.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere configurar o aplicativo para não permitir NULL como PIN ou restringir o acesso ao módulo pam-u2f para minimizar o risco de exploração.