Vulnerabilidad en Himmelblau (CVE-2025-53013)

Himmelblau es una suite de interoperabilidad para Microsoft Azure Entra ID e Intune. Una vulnerabilidad presente en las versiones 0.9.10 a 0.9.16 permite a un usuario autenticarse en un host Linux a través de Himmelblau usando un PIN de Hello de Linux *inválido*, siempre que el host esté desconectado. Mientras el usuario accede al sistema local, el inicio de sesión único (SSO) falla debido a la caída de la red y a la imposibilidad de emitir tokens (debido a un fallo en el desbloqueo de la clave Hello). El problema principal radica en una suposición incorrecta dentro de la función `acquire_token_by_hello_for_business_key`: se esperaba que devolviera un error `TPMFail` para una clave Hello inválida al estar desconectado, pero en su lugar, una solicitud nonce anterior resultó en un error `RequestFailed`, lo que provocó que el sistema pasara erróneamente a un estado de desconexión exitosa sin validar el desbloqueo de la clave Hello. Esto afecta a los sistemas que usan Himmelblau para la autenticación cuando operan desconectados con la autenticación con PIN de Hello habilitada. Rocky Linux 8 (y sus variantes) no se ven afectados por esta vulnerabilidad. El problema se ha resuelto en la versión 0.9.17 de Himmelblau. Existe una solución alternativa para los usuarios que no puedan actualizar inmediatamente. Deshabilitar la autenticación con PIN de Hello configurando `enable_hello = false` en `/etc/himmelblau/himmelblau.conf` mitigará la vulnerabilidad.