PT-2025-6067 · Unknown+2 · Pam Pkcs11+2
Bjorn3
·
Publicado
2025-02-10
·
Atualizado
2025-04-22
·
CVE-2025-24031
CVSS v4.0
5.1
Média
| Vetor | AV:L/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Versões 0.6.12 e anteriores do PAM-PKCS#11
Descrição
O problema afeta um módulo de login do Linux-PAM que permite o login de usuários baseado em certificados X.509. Quando um usuário pressiona Ctrl-C/Ctrl-D enquanto é solicitado a informar um PIN, o módulo pam pkcs11 sofre uma falha de segmentação. Além disso, se um usuário não inserir nenhum PIN, a função
pam get pwd não inicializará o ponteiro do buffer da senha, fazendo com que a função cleanse tente dereferenciar um ponteiro não inicializado, o que pode levar a uma falha de segmentação. O impacto mais provável é um problema de disponibilidade devido à falha de um daemon que utiliza o PAM.Recomendações
Para as versões 0.6.12 e anteriores, como solução temporária, considere desabilitar o módulo pam pkcs11 até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
NULL Pointer Dereference
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Pam Pkcs11
Suse