Author

Topic: <<<ALERTA>>> GRAN VULNERABILIDAD EN YUBIKEY NEO (Read 896 times)

hero member
Activity: 690
Merit: 500


Traducido por:

https://translate.google.com

" Cómo comprobar si se ven afectados

Versiones de abajo 1.0.9 se ven afectados por este problema. Desafortunadamente, algunos NEOs YubiKey envían con un comunicado de 1.0.9 que no contenía la revisión. Para simplificar la comprobación de versión, hemos lanzado 1.0.10 y NEOs utilizando esa versión es conocido incluir siempre la corrección. Para estar seguro de que su NEO ha instalado el applet ykneo-openpgp fijo, busque una versión de 1.0.10 o posterior.

Puede comprobar la versión del applet con el siguiente comando.

  $ Gpg-connect-agente --hex "scd APDU 00 f1 00 00" / bye
  D [0000] 01 00 06 90 00 .....
  OK

La cadena "01 00 06" significa la versión 1.0.6, que se verían afectados por este problema."


"How to check if you are affected

Versions below 1.0.9 are affected by this problem. Unfortunately, some YubiKey NEOs shipped with a 1.0.9 release that did not contain the fix. To simplify version checking, we have released 1.0.10 and NEOs using that version is known to always include the fix. To be certain that your NEO has the fixed ykneo-openpgp applet installed, look for a version of 1.0.10 or later.

You may check the applet version with the following command.

 $ gpg-connect-agent --hex "scd apdu 00 f1 00 00" /bye
 D[0000]  01 00 06 90 00                                     .....
 OK

The string "01 00 06" means version 1.0.6, which would be affected by this problem."

https://developers.yubico.com/ykneo-openpgp/SecurityAdvisory%202015-04-14.html






hero member
Activity: 690
Merit: 500


TITULO TRADUCIDO:

Yubikey Neo GRAN vulnerabilidad de seguridad ! Cuide su bitcoin-contraseña si utilizó uno!.

https://www.reddit.com/r/Bitcoin/comments/33qy7w/yubikey_neo_big_security_vulnerability_take_care/ (ingle)

https://developers.yubico.com/ykneo-openpgp/SecurityAdvisory%202015-04-14.html (ingles)

"El código fuente contiene un error lógico en relación con el usuario PIN (aka MP1) la verificación de que permite a un atacante con privilegios locales de acogida y / o en la proximidad física (NFC) para realizar las operaciones de seguridad sin el conocimiento del código PIN del usuario."

Saludos.




Jump to: