Vulnerabilidad en PAM-PKCS#11 (CVE-2025-24032)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
10/02/2025
Última modificación:
21/05/2025
Descripción
PAM-PKCS#11 es un módulo de inicio de sesión de Linux-PAM que permite un inicio de sesión de usuario basado en certificado X.509. Antes de la versión 0.6.13, si cert_policy se configuraba en none (el valor predeterminado), entonces pam_pkcs11 solo verificaba si el usuario puede iniciar sesión en el token. Un atacante puede crear un token diferente con los datos públicos del usuario (por ejemplo, el certificado del usuario) y un PIN conocido por el atacante. Si no se requiere una firma con la clave privada, entonces el atacante puede iniciar sesión como usuario con ese token creado. El valor predeterminado de *no* verificar la firma de la clave privada se ha cambiado con el commit commi6638576892b59a99389043c90a1e7dd4d783b921, por lo que todas las versiones que comiencen con pam_pkcs11-0.6.0 deberían verse afectadas. Como workaround, en `pam_pkcs11.conf`, establezca al menos `cert_policy = signature;`.
Impacto
Puntuación base 4.0
9.20
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://github.com/OpenSC/pam_pkcs11/commit/470263258d1ac59c5eade439c4d9caba0097e6e6
- https://github.com/OpenSC/pam_pkcs11/commit/b665b287ff955bbbd9539252ff9f9e2754c3fb48
- https://github.com/OpenSC/pam_pkcs11/commit/d9530167966a77115db6e885d459382a2e52ee9e
- https://github.com/OpenSC/pam_pkcs11/releases/tag/pam_pkcs11-0.6.13
- https://github.com/OpenSC/pam_pkcs11/security/advisories/GHSA-8r8p-7mgp-vf56
- https://lists.debian.org/debian-lts-announce/2025/02/msg00021.html
- https://www.vicarius.io/vsociety/posts/cve-2025-24032-detect-vulnerability-in-linux-pam-module
- https://www.vicarius.io/vsociety/posts/cve-2025-24032-mitigate-linux-pam-module-vulnerability