Beratungs-ID vasco-sa-20150903-ias
Revisionsnummer 1.0
Erscheinungsdatum 23. März 2015 19:42 UTC + 1
Letztes Update 25. März 2015 19:42 UTC + 1
Zusammenfassung
Prüfer für Informationssicherheit der Firma Security BV haben privat eine Cross-Site-Scripting-Sicherheitsanfälligkeit gemeldet, die in der Hilfefunktion von IDENTIKEY Authentication Server- und IDENTIKEY (Virtual) Appliance-Installationen vorhanden ist.
Betroffene Produkte
Folgende Produkte sind von der Sicherheitsanfälligkeit betroffen:
- IDENTIKEY (Virtual) Appliance-Versionen 3.8 und früher
- IDENTIKEY Authentication Server-Versionen 3.8 und früher
Beschreibung
Der Webverwaltungsabschnitt von IDENTIKEY Authentication Server und IDENTIKEY (Virtual) Appliance enthält auch eine Hilfefunktion. Auf die Hilfefunktion kann in einem Unterverzeichnis des Abschnitts Webadministration zugegriffen werden. In dieser Hilfefunktion wurde eine Sicherheitsanfälligkeit bezüglich Cross-Site-Scripting festgestellt.
Um die Hilfe auf einer bestimmten Seite zu öffnen, kann ein spezieller Parameter als Teil der URL des Hilfeabschnitts übergeben werden. Wenn Sie den Wert dieses Parameters durch einen speziell gestalteten Cross-Site-Scripting-Angriffsvektor ersetzen, wird der Angriffsvektor im Kontext des Browsers des Endbenutzers ausgeführt.
Severity Score
Die folgenden Tabellen geben den CVSS 2.0-Schwachstellenwert der verschiedenen Schwachstellen an.
CVSS Base Score: 4.3 | |||||
Greifen Sie auf Vector zu | Zugriffskomplexität | Authentifizierung | Vertraulichkeitswirkung | Auswirkungen auf die Integrität | Auswirkungen auf die Verfügbarkeit |
Netzwerk | Mittel | Keiner | Teilweise | Keiner | Keiner |
Produktkorrekturen
OneSpan wird diese Sicherheitsanfälligkeiten in den folgenden kommenden Versionen beheben
- IDENTIKEY (Virtual) Appliance 3.9
- IDENTIKEY Authentication Server 3.9
Ort
Kunden mit einem Wartungsvertrag können feste Produktfreigaben von MyMaintenance erhalten.
Kunden ohne Wartungsvertrag sollten sich an ihren örtlichen Vertriebsmitarbeiter wenden.
Referenz
OneSpan erkennt die Bemühungen derjenigen in der Sicherheitsgemeinschaft an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitslücken zu schützen. Weitere Informationen finden Sie in unserer Hall of Fame.
Haftungsausschluss
Obwohl alle zumutbaren Anstrengungen unternommen werden, um korrekte Informationen zu verarbeiten und bereitzustellen, werden alle Inhalte und Informationen in diesem Dokument "wie besehen" und "wie verfügbar" ohne jegliche Zusicherung oder Bestätigung und ohne ausdrückliche oder stillschweigende Gewährleistung bereitgestellt. VOLLSTÄNDIGKEIT ODER EIGNUNG ODER JEGLICHE GARANTIE, EINSCHLIESSLICH DER GARANTIEN FÜR MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN GEBRAUCH ODER ZWECK. DIE NUTZUNG DIESES DOKUMENTS, DER ZUR VERFÜGUNG GESTELLTEN INFORMATIONEN ODER DER MIT DIESEM DOKUMENT VERBUNDENEN MATERIALIEN ERFOLGT AUF EIGENES RISIKO. VASCO behält sich das Recht vor, die Informationen in diesem Dokument jederzeit und nach eigenem Ermessen zu ändern oder zu aktualisieren, sofern neue oder zusätzliche Informationen verfügbar werden.
Copyright © 2015 VASCO Data Security, Inc., VASCO Data Security International GmbH. Alle Rechte vorbehalten.