Beratungs-ID vasco-sa-20141029-xss
Revisionsnummer 1.1
Erscheinungsdatum 29. Oktober 2014 13:53 UTC + 1
Letztes Update 13. November 2014 13:54 UTC + 1
Zusammenfassung
Am 23. September 2014 wurde OneSpan auf Sicherheitslücken bei offenen Redirect- und Cross-Site-Skripten auf den OneSpan IDENTIKEY Authentication Server-Websites und der IDENTIKEY Appliance Administration-Website aufmerksam. Die Open-Redirect-Sicherheitsanfälligkeit kann bei Phishing-Angriffen verwendet werden, um Benutzer zum Besuch bösartiger Websites zu bewegen, ohne dies zu bemerken, während die Sicherheitsanfälligkeiten durch Cross-Site-Scripting es einem Angreifer ermöglichen können, schädliche Skripts in Webseiten einzufügen und erhöhte Zugriffsrechte auf vertrauliche Seiteninhalte zu erhalten , Sitzungscookies und andere Informationen.
Betroffene Produkte
Folgende Produkte sind von den Sicherheitslücken betroffen:
- IDENTIKEY Authentication Server 3.3 bis 3.6.
- IDENTIKEY Authentication Server-Websites sind Teil der IDENTIKEY Appliance 3.4.6.2 bis 3.6.8.0.
- IDENTIKEY Appliance 3.5.7. {1-6} und 3.6.8.0.
Beschreibung
Die OneSpan IDENTIKEY Authentication Server-Websites unterliegen einer offenen Umleitungsanfälligkeit, die es einem Angreifer ermöglichen kann, Phishing-Angriffe auszuführen. Sie unterliegen außerdem Sicherheitslücken bei Cross-Site-Skripten, die es einem Angreifer ermöglichen können, schädliche Skripte in die betroffenen Webseiten einzufügen und diesen Angriffsvektor beispielsweise zum Stehlen von Sitzungscookies zu verwenden.
Severity Score
Die folgende Tabelle gibt den CVSS 2.0-Schwachstellenwert der verschiedenen Schwachstellen an.
|
CVSS Base Score: 5.0 |
|||||
| Greifen Sie auf Vector zu | Zugriffskomplexität |
Authentifizierung |
Vertraulichkeitswirkung | Auswirkungen auf die Integrität | Auswirkungen auf die Verfügbarkeit |
| Netzwerk | Niedrig | Keiner | Teilweise | Keiner | Keiner |
|
CVSS Temporal Score: 4.8 |
||
| Ausnutzbarkeit | Sanierungsstufe | Vertrauen melden |
| Funktionell | Nicht verfügbar | Bestätigt |
Produktkorrekturen
OneSpan wird folgende Patches veröffentlichen:
- IDENTIKEY Authentication Server-Websites 3.6.1 am 28. November 2014
- IDENTIKEY Appliance 3.6.8.1, am 28. November 2014
Kunden, die eines der betroffenen eigenständigen IDENTIKEY Authentication Server-Websites bereitgestellt haben, müssen dieses Paket deinstallieren und IDENTIKEY Authentication Server-Websites 3.6.1 installieren.
Kunden, die die betroffenen IDENTIKEY Authentication Server-Websites als Teil des IDENTIKEY Authentication Server bereitgestellt haben, müssen diese Funktion von ihrer IDENTIKEY Authentication Server-Installation deinstallieren und IDENTIKEY Authentication Server-Websites 3.6.1 installieren.
Kunden, die betroffene Versionen der IDENTIKEY Appliance verwenden, wird empfohlen, ein Upgrade auf IDENTIKEY Appliance 3.6.8.1 durchzuführen.
Ort
Für IDENTIKEY Authentication Server:
Kunden mit einem Wartungsvertrag können feste Produktfreigaben von MyMaintenance erhalten. Kunden ohne Wartungsvertrag sollten sich an ihren örtlichen Vertriebsmitarbeiter wenden.
Für IDENTIKEY Appliance:
Kunden mit einem Wartungsvertrag können feste Produktversionen von MyMaintenance erhalten oder sich für ein Online-Update im Update-Assistenten von IDENTIKEY Appliance entscheiden. Kunden ohne Wartungsvertrag sollten sich an ihren örtlichen Vertriebsmitarbeiter wenden.
Referenz
OneSpan bedankt sich bei Richard Dalton von Rits Information Security für die Meldung der Sicherheitslücken an OneSpan PSIRT.
Haftungsausschluss
WÄHREND JEDER ANGEMESSENE AUFWAND GEMACHT WIRD, UM GENAUE INFORMATIONEN ZU VERARBEITEN UND ZUR VERFÜGUNG ZU STELLEN, WERDEN ALLE INHALTE UND INFORMATIONEN IN DIESEM DOKUMENT "WIE BESEHEN" UND "WIE VERFÜGBAR" UND OHNE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE VON CUR VOLLSTÄNDIGKEIT ODER EIGNUNG ODER JEGLICHE GEWÄHRLEISTUNG, EINSCHLIESSLICH DER GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN GEBRAUCH ODER ZWECK. DIE NUTZUNG DIESES DOKUMENTS, DER ZUR VERFÜGUNG GESTELLTEN INFORMATIONEN ODER DER MIT DIESEM DOKUMENT VERBUNDENEN MATERIALIEN ERFOLGT AUF EIGENES RISIKO. VASCO behält sich das Recht vor, die Informationen in diesem Dokument jederzeit und nach eigenem Ermessen zu ändern oder zu aktualisieren, sofern neue oder zusätzliche Informationen verfügbar werden.
Copyright © 2014 VASCO Datensicherheit, Inc., VASCO Datensicherheit International GmbH. Alle Rechte vorbehalten.