Reflektierte Sicherheitsanfälligkeit bezüglich Cross-Site-Scripting in der DIGIPASS-Authentifizierung für Citrix Web Interface

Beratungs-ID vasco-sa-20150903-DPAuth4CWI

Revisionsnummer 1.0

Erscheinungsdatum 03. September 2015 13:19 UTC + 1

Letztes Update 03. September 2015 13:19 UTC + 1

Zusammenfassung

Prüfer für Informationssicherheit des Unternehmens Integrity haben privat eine Sicherheitsanfälligkeit bezüglich Cross-Site-Scripting gemeldet, die in Citrix Web Interface-Installationen auftreten kann, die die DIGIPASS-Authentifizierung von OneSpan für das Citrix Web Interface-Plugin verwenden. Das Problem ist auf der Anmeldeseite des Citrix Webinterface vorhanden.

Betroffene Produkte

Folgende Produkte sind von der Sicherheitsanfälligkeit betroffen:

DIGIPASS-Authentifizierung für Citrix Webinterface

Beschreibung

Das DIGIPASS-Authentifizierungs-Plug-In kann so konfiguriert werden, dass Informationen an Citrix übergeben werden, wenn eine Authentifizierungsanforderung fehlschlägt. Diese Informationen können verwendet werden, um Benutzern eine Erklärung zu geben, warum ihre Anmeldung fehlgeschlagen ist, und um Schritte zu unternehmen, die sie möglicherweise zur Behebung des Problems ausführen können. Das DIGIPASS-Authentifizierungs-Plug-In übergibt den Fehler- oder Statuscode und den Nachrichtentext für den Authentifizierungsserver an Citrix, das die Nachricht dann wörtlich anzeigen oder den Code interpretieren kann, um dem Benutzer eine klare Erklärung oder Anweisungen zu geben.

Als Teil des Installationspakets stellt OneSpan eine Beispieldatei feedback.inc zur Verfügung, die Kunden in das Citrix-Installationsverzeichnis kopieren sollten. Der Code in der Datei feedback.inc wird beim Laden der Anmeldeseite der Citrix-Weboberfläche ausgeführt. Der Beispielcode zeigt den Fehler- oder Statuscode und den Nachrichtentext ohne Anwendung der Eingabefilterung an, was zu einer reflektierten Sicherheitsanfälligkeit bezüglich Cross-Site-Scripting führt.

Kunden sind nur dann gefährdet, wenn sie die Datei feedback.inc durch die von OneSpan bereitgestellte Beispieldatei ersetzt haben oder wenn sie ihre Datei feedback.inc mithilfe des in der Produktdokumentation verfügbaren Beispielcodes aktualisiert haben.

Severity Score

Die folgenden Tabellen geben den CVSS 2.0-Schwachstellenwert der verschiedenen Schwachstellen an.

CVSS Base Score: 4.3
Greifen Sie auf Vector zu Zugriffskomplexität Authentifizierung Vertraulichkeitswirkung Auswirkungen auf die Integrität Auswirkungen auf die Verfügbarkeit
Netzwerk Mittel Keiner Teilweise Keiner Keiner

 

Produktkorrekturen

Seit dem bevorstehenden Ende der Wartung, das Citrix für sein Citrix Webinterface-Produkt festgelegt hat, wird OneSpan kein Update des DIGIPASS-Authentifizierungs-Plug-Ins für das Citrix Webinterface veröffentlichen. Stattdessen sollten Kunden, die die Datei feedback.inc ihres Citrix Webinterface-Produkts geändert haben, die unten dokumentierte Problemumgehung anwenden.

Um dieses Problem zu beheben, kann ein betroffener Kunde eine der folgenden Lösungen verwenden:

Der Kunde kann die Datei feedback.inc durch die ursprüngliche Datei feedback.inc ersetzen, die von Citrix bereitgestellt wurde. In diesem Fall muss der Kunde das Flag "Rückgabefehlergrund" im DIGIPASS Authentication Plug-In Configuration Center deaktiviert setzen.

Der Kunde kann die Datei feedback.inc bearbeiten und den Code entfernen oder auskommentieren, der den Grund für den DIGIPASS-Fehler anzeigt. Kunden sollten diesen Ansatz verfolgen, wenn die ursprüngliche Datei feedback.inc nicht mehr verfügbar ist.

Weitere Informationen zu diesen Lösungen finden Sie im OneSpan Knowledge Base-Artikel KB 140148.

Ort

OneSpan erkennt die Bemühungen derjenigen in der Sicherheitsgemeinschaft an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitslücken zu schützen. Weitere Informationen finden Sie in unserer Hall of Fame.

Referenz

unzutreffend

Haftungsausschluss

Obwohl alle zumutbaren Anstrengungen unternommen werden, um korrekte Informationen zu verarbeiten und bereitzustellen, werden alle Inhalte und Informationen in diesem Dokument "wie besehen" und "wie verfügbar" ohne jegliche Zusicherung oder Bestätigung und ohne ausdrückliche oder stillschweigende Gewährleistung bereitgestellt. VOLLSTÄNDIGKEIT ODER EIGNUNG ODER JEGLICHE GARANTIE, EINSCHLIESSLICH DER GARANTIEN FÜR MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN GEBRAUCH ODER ZWECK. DIE NUTZUNG DIESES DOKUMENTS, DER ZUR VERFÜGUNG GESTELLTEN INFORMATIONEN ODER DER MIT DIESEM DOKUMENT VERBUNDENEN MATERIALIEN ERFOLGT AUF EIGENES RISIKO. VASCO behält sich das Recht vor, die Informationen in diesem Dokument jederzeit und nach eigenem Ermessen zu ändern oder zu aktualisieren, sofern neue oder zusätzliche Informationen verfügbar werden.

Copyright © 2015 VASCO Data Security, Inc., VASCO Data Security International GmbH. Alle Rechte vorbehalten.

🖨 Reflektierte Sicherheitsanfälligkeit bezüglich Cross-Site-Scripting in der DIGIPASS-Authentifizierung für Citrix Web Interface