阿里云漏洞库

中危不正确地处理CAC证书的缓冲区限制

CVE编号

CVE-2019-19481

利用情况

暂无

补丁情况

没有补丁

披露时间

2019-12-02

漏洞描述

在OpenSC至0.19.0和0.20.x至0.20.0-rc3中发现了一个问题。 libopensc / card-cac1.c错误地处理了CAC证书的缓冲区限制。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://github.com/OpenSC/OpenSC/commit/b75c002cfb1fd61cd20ec938ff4937d7b1a94278

参考链接
http://www.openwall.com/lists/oss-security/2019/12/29/1
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=18618
https://github.com/OpenSC/OpenSC/commit/b75c002cfb1fd61cd20ec938ff4937d7b1a94278
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	opensc_project	opensc	0.19.0	-
	运行在以下环境
	应用	opensc_project	opensc	0.20.0	-
	运行在以下环境
	系统	alpine_3.11	opensc	*		Up to (excluding) 0.20.0-r0
	运行在以下环境
	系统	alpine_3.12	opensc	*		Up to (excluding) 0.20.0-r0
	运行在以下环境
	系统	alpine_3.13	opensc	*		Up to (excluding) 0.20.0-r0
	运行在以下环境
	系统	alpine_3.14	opensc	*		Up to (excluding) 0.20.0-r0
	运行在以下环境
	系统	alpine_3.15	opensc	*		Up to (excluding) 0.20.0-r0
	运行在以下环境
	系统	alpine_3.16	opensc	*		Up to (excluding) 0.20.0-r0
	运行在以下环境
	系统	alpine_3.17	opensc	*		Up to (excluding) 0.20.0-r0
	运行在以下环境
	系统	alpine_3.18	opensc	*		Up to (excluding) 0.20.0-r0
	运行在以下环境
	系统	alpine_3.19	opensc	*		Up to (excluding) 0.20.0-r0
	运行在以下环境
	系统	debian_10	opensc	*		Up to (excluding) 0.19.0~rc1-1
	运行在以下环境
	系统	debian_11	opensc	*		Up to (excluding) 0.19.0~rc1-1
	运行在以下环境
	系统	debian_12	opensc	*		Up to (excluding) 0.19.0~rc1-1
	运行在以下环境
	系统	fedora_31	opensc	*		Up to (excluding) 0.20.0-3.fc31
	运行在以下环境
	系统	oracle_8	opensc	*		Up to (excluding) 0.20.0-2.el8
	运行在以下环境
	系统	redhat_8	opensc	*		Up to (excluding) 0.20.0-2.el8

攻击路径

本地
攻击复杂度

容易
权限要求

普通权限
影响范围

越权影响
EXP成熟度

未验证
补丁情况

没有补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

服务器失陷
全网数量

N/A

CWE-ID	漏洞类型
CWE-119	内存缓冲区边界内操作的限制不恰当