CVE编号
CVE-2010-4530利用情况
暂无补丁情况
官方补丁披露时间
2011-01-19漏洞描述
PCSC-Lite用于提供windows SCard接口,可使用winscard api与智能卡和阅读器相连。USB CCID(Chip/Smart Card Interface Devices)驱动处理智能卡序列号的某些值时存在整数溢出,可导致数组索引错误。本地攻击者可以利用此漏洞以运行pcscd守护进程的用户特权执行任意代码。攻击者需要构建使用特制序列号的智能卡,插入系统USB端口触发。解决建议
用户可联系供应商升级到最新版本的pcsc-lite:http://lists.alioth.debian.org/pipermail/pcsclite-cvs-commit/2010-November/004934.html http://lists.alioth.debian.org/pipermail/pcsclite-cvs-commit/2010-November/004935.html
参考链接 |
|
|---|---|
| http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10705 | |
| http://labs.mwrinfosecurity.com/files/Advisories/mwri_pcsc-libccid-buffer-ove... | |
| http://lists.fedoraproject.org/pipermail/package-announce/2011-January/053076.html | |
| http://lists.fedoraproject.org/pipermail/package-announce/2011-January/053097.html | |
| http://rhn.redhat.com/errata/RHSA-2013-1323.html | |
| http://www.mandriva.com/security/advisories?name=MDVSA-2011:014 | |
| http://www.openwall.com/lists/oss-security/2010/12/22/7 | |
| http://www.openwall.com/lists/oss-security/2011/01/03/3 | |
| http://www.securityfocus.com/bid/45806 | |
| http://www.vupen.com/english/advisories/2011/0100 | |
| http://www.vupen.com/english/advisories/2011/0179 | |
| https://bugzilla.redhat.com/show_bug.cgi?id=664986 | |
| https://exchange.xforce.ibmcloud.com/vulnerabilities/64961 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | muscle | pcsc-lite | 1.5.3 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | centos_6 | ccid | * |
Up to (excluding) 1.3.9-6.el6 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | oracle_5 | ccid | * |
Up to (excluding) 1.3.8-2.el5 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | oracle_6 | ccid | * |
Up to (excluding) 1.3.9-6.el6 |
|||||
- 攻击路径 本地
- 攻击复杂度 复杂
- 权限要求 无需权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 传输被破坏
- 服务器危害 无影响
- 全网数量 N/A
还没有评论,来说两句吧...