Reflektierte Sicherheitsanfälligkeit bezüglich Cross-Site-Scripting in der Hilfefunktion von IDENTIKEY Authentication Server

Beratungs-ID vasco-sa-20150903-ias

Revisionsnummer 1.0

Erscheinungsdatum 23. März 2015 19:42 UTC + 1

Letztes Update 25. März 2015 19:42 UTC + 1

Zusammenfassung

Prüfer für Informationssicherheit der Firma Security BV haben privat eine Cross-Site-Scripting-Sicherheitsanfälligkeit gemeldet, die in der Hilfefunktion von IDENTIKEY Authentication Server- und IDENTIKEY (Virtual) Appliance-Installationen vorhanden ist.

Betroffene Produkte

Folgende Produkte sind von der Sicherheitsanfälligkeit betroffen:

  • IDENTIKEY (Virtual) Appliance-Versionen 3.8 und früher
  • IDENTIKEY Authentication Server-Versionen 3.8 und früher

Beschreibung

Der Webverwaltungsabschnitt von IDENTIKEY Authentication Server und IDENTIKEY (Virtual) Appliance enthält auch eine Hilfefunktion. Auf die Hilfefunktion kann in einem Unterverzeichnis des Abschnitts Webadministration zugegriffen werden. In dieser Hilfefunktion wurde eine Sicherheitsanfälligkeit bezüglich Cross-Site-Scripting festgestellt.

Um die Hilfe auf einer bestimmten Seite zu öffnen, kann ein spezieller Parameter als Teil der URL des Hilfeabschnitts übergeben werden. Wenn Sie den Wert dieses Parameters durch einen speziell gestalteten Cross-Site-Scripting-Angriffsvektor ersetzen, wird der Angriffsvektor im Kontext des Browsers des Endbenutzers ausgeführt.

Severity Score

Die folgenden Tabellen geben den CVSS 2.0-Schwachstellenwert der verschiedenen Schwachstellen an.

CVSS Base Score: 4.3
Greifen Sie auf Vector zu Zugriffskomplexität Authentifizierung Vertraulichkeitswirkung Auswirkungen auf die Integrität Auswirkungen auf die Verfügbarkeit
Netzwerk Mittel Keiner Teilweise Keiner Keiner

 

Produktkorrekturen

OneSpan wird diese Sicherheitsanfälligkeiten in den folgenden kommenden Versionen beheben

  • IDENTIKEY (Virtual) Appliance 3.9
  • IDENTIKEY Authentication Server 3.9

Ort

Kunden mit einem Wartungsvertrag können feste Produktfreigaben von MyMaintenance erhalten.
Kunden ohne Wartungsvertrag sollten sich an ihren örtlichen Vertriebsmitarbeiter wenden.

Referenz

OneSpan erkennt die Bemühungen derjenigen in der Sicherheitsgemeinschaft an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitslücken zu schützen. Weitere Informationen finden Sie in unserer Hall of Fame.

Haftungsausschluss

Obwohl alle zumutbaren Anstrengungen unternommen werden, um korrekte Informationen zu verarbeiten und bereitzustellen, werden alle Inhalte und Informationen in diesem Dokument "wie besehen" und "wie verfügbar" ohne jegliche Zusicherung oder Bestätigung und ohne ausdrückliche oder stillschweigende Gewährleistung bereitgestellt. VOLLSTÄNDIGKEIT ODER EIGNUNG ODER JEGLICHE GARANTIE, EINSCHLIESSLICH DER GARANTIEN FÜR MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN GEBRAUCH ODER ZWECK. DIE NUTZUNG DIESES DOKUMENTS, DER ZUR VERFÜGUNG GESTELLTEN INFORMATIONEN ODER DER MIT DIESEM DOKUMENT VERBUNDENEN MATERIALIEN ERFOLGT AUF EIGENES RISIKO. VASCO behält sich das Recht vor, die Informationen in diesem Dokument jederzeit und nach eigenem Ermessen zu ändern oder zu aktualisieren, sofern neue oder zusätzliche Informationen verfügbar werden.

Copyright © 2015 VASCO Data Security, Inc., VASCO Data Security International GmbH. Alle Rechte vorbehalten.

🖨 Reflektierte Sicherheitsanfälligkeit bezüglich Cross-Site-Scripting in der Hilfefunktion von IDENTIKEY Authentication Server