PT-2022-7826 · Yubico · Ykneo-Openpgp
Joey Castillo
·
Publicado
2022-03-29
·
Atualizado
2022-04-08
·
CVE-2015-3298
CVSS v2.0
5.8
Média
| Vetor | AV:A/AC:L/Au:N/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões do Yubico ykneo-openpgp anteriores à 1.0.10
Descrição
O problema é causado por um erro de digitação, permitindo que um PIN inválido seja utilizado. Quando o dispositivo é ligado pela primeira vez, uma assinatura é emitida mesmo que o PIN não tenha sido validado.
Recomendações
Para versões anteriores à 1.0.10, atualize para a versão 1.0.10 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso do dispositivo até que um patch esteja disponível. Restrinja o acesso ao dispositivo para minimizar o risco de exploração.
Exploit
Correção
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ykneo-Openpgp