CVE-2025-53013

Nome do Software Vulnerável e Versões Afetadas: Versões do Himmelblau de 0.9.10 a 0.9.16

Descrição: Uma vulnerabilidade no Himmelblau permite que um usuário se autentique em um host Linux utilizando um PIN Hello do Linux inválido quando o host está offline. Este problema surge de uma premissa incorreta na função acquire token by hello for business key, que não retorna um erro TPMFail para uma chave Hello inválida quando offline. Em vez disso, o sistema transita para um estado de sucesso offline sem validar o desbloqueio da chave Hello. Isso afeta sistemas que utilizam o Himmelblau para autenticação com a autenticação por PIN Hello habilitada quando operam em estado offline.

Recomendações: Para as versões do Himmelblau de 0.9.10 a 0.9.16, atualize para a versão 0.9.17 para resolver o problema. Como solução temporária para usuários que não podem atualizar imediatamente, desabilite a autenticação por PIN Hello definindo enable hello = false em /etc/himmelblau/himmelblau.conf para mitigar a vulnerabilidade.