Beratungs-ID vasco-sa-20140417-heartbleed
Revisionsnummer 1.3
Erscheinungsdatum 17. April 2014 14:45 UTC + 1
Letztes Update 12. Mai 2014 14:45 UTC + 1
Zusammenfassung
Mehrere OneSpan-Produkte enthalten eine Version der OpenSSL-Bibliothek, die von einer Sicherheitsanfälligkeit betroffen ist, die es einem nicht authentifizierten Remote-Gegner ermöglichen kann, Teile von 64 KB aus dem Speicher des OneSpan-Client- oder -Serverprodukts abzurufen. Diese Sicherheitsanfälligkeit wird als Heartbleed-Fehler bezeichnet.
Die Sicherheitsanfälligkeit beruht auf einer fehlenden Grenzüberprüfung bei der Behandlung der TLS-Heartbeat-Erweiterung (Transport Layer Security), wie in RFC 6520 angegeben. Ein Angreifer kann diese Sicherheitsanfälligkeit ausnutzen, indem er einen bösartigen TLS-Client implementiert, wenn er versucht, die Sicherheitsanfälligkeit auf einem betroffenen Server auszunutzen, oder einen bösartigen TLS-Server, wenn er versucht, die Sicherheitsanfälligkeit auf einem betroffenen Client auszunutzen. Ein Exploit kann ein speziell gestaltetes Heartbeat-Paket an den verbundenen Client oder Server senden. Ein Exploit könnte es dem Angreifer ermöglichen, für jedes gesendete Heartbeat-Paket 64 Kilobyte Speicher von einem verbundenen Client oder Server freizugeben. Die offenbarten Teile des Speichers könnten vertrauliche Informationen wie private Schlüssel und anwendungsspezifische Daten enthalten.
Diese Sicherheitsanfälligkeit wird mit der ID CVE-2014-0160 für allgemeine Sicherheitsanfälligkeiten bezeichnet.
Betroffene Produkte
Die folgenden OneSpan-Produkte sind vom Heartbleed-Fehler betroffen:
- Persönlicher aXsGUARD 2.0.0
- IDENTIKEY Authentication Server 3.5 und Patch 3.5.1
- IDENTIKEY Appliance 3.5.7.0, 3.5.7.1 und 3.5.7.2
- IDENTIKEY Virtual Appliance 3.5.7.0, 3.5.7.1 und 3.5.7.2
- IDENTIKEY Federation Server 1.3 und 1.4
- MYDIGIPASS.COM
- DIGIPASS-Authentifizierung für Windows Logon 1.2.0
- LDAP-Synchronisierungstool 1.3.0
- DIGIPASS-Authentifizierung für IIS 3.5.0, DIGIPASS-Authentifizierung für Citrix Web Interface 3.6.0, DIGIPASS-Authentifizierung für Outlook Web Access 3.5.0, DIGIPASS-Authentifizierung für Remote Desktop Web Access 3.5.0, DIGIPASS-Authentifizierung für SBR 3.5.
Die aXsGUARD GateKeeper-Appliances und andere OneSpan-Produkte sind von diesem Fehler nicht betroffen.
Beschreibung
Die Auswirkungen dieser Sicherheitsanfälligkeit auf OneSpan-Produkte hängen vom betroffenen Produkt ab. Eine erfolgreiche Ausnutzung der Sicherheitsanfälligkeit kann dazu führen, dass Teile des Arbeitsspeichers von einem Client oder Server freigegeben werden. Die offenbarten Teile des Speichers könnten vertrauliche Informationen wie private Schlüssel und anwendungsspezifische Daten enthalten.
Severity Score
Die folgende Tabelle gibt die CVSS 2.0-Schwachstellenbewertung an.
CVSS Base Score: 5 | |||||
Greifen Sie auf Vector zu | Zugriffskomplexität | Authentifizierung | Vertraulichkeitswirkung | Auswirkungen auf die Integrität | Auswirkungen auf die Verfügbarkeit |
Netzwerk | Niedrig | Keiner | Teilweise | Keiner | Keiner |
Produktkorrekturen
OneSpan hat am 9. April 2014 seinen Authentifizierungsdienst MYDIGIPASS.COM aktualisiert.
OneSpan hat Patches für folgende Produkte veröffentlicht:
- IDENTIKEY Federation Server 1.4.1, veröffentlicht am 10. April 2014
- IDENTIKEY Federation Server 1.3.1, veröffentlicht am 11. April 2014
- IDENTIKEY Authentication Server 3.5.2, veröffentlicht am 18. April 2014
- IDENTIKEY Appliance 3.5.7.3, veröffentlicht am 18. April 2014
- IDENTIKEY Virtual Appliance 3.5.7.3, veröffentlicht am 18. April 2014
- DIGIPASS-Authentifizierung für Windows Logon V1.2.1, veröffentlicht am 30. April 2014
- LDAP Synchronization Tool V1.3.2, veröffentlicht am 9. Mai 2014.
- DIGIPASS-Authentifizierung für Citrix Webinterface V3.6.1, veröffentlicht am 9. Mai 2014.
- DIGIPASS-Authentifizierung für OWA Basic 3.5.1, veröffentlicht am 9. Mai 2014.
- DIGIPASS-Authentifizierung für OWA Forms 3.5.1, veröffentlicht am 9. Mai 2014.
- DIGIPASS-Authentifizierung für IIS Basic 3.5.1, veröffentlicht am 9. Mai 2014.
- DIGIPASS-Authentifizierung für Remote Desktop-Webzugriff 3.6.1, veröffentlicht am 9. Mai 2014.
- DIGIPASS-Authentifizierung für RADIUS-Server mit Stahlgürtel 3.3.1, veröffentlicht am 9. Mai 2014.
OneSpan wird folgende Patches veröffentlichen:
- Persönlicher aXsGUARD 2.1.0
Kunden mit betroffenen Produkten sollten die folgenden drei Schritte ausführen, um die Sicherheitsanfälligkeit zu verringern:
- Schritt 1: Aktualisieren Sie alle betroffenen Produkte mit den von OneSpan bereitgestellten festen Produktversionen
- Schritt 2: Private SSL / TLS-Schlüssel widerrufen und neue Schlüsselpaare und Zertifikate ausstellen. Aufgrund des Fehlers kann nicht ausgeschlossen werden, dass private SSL / TLS-Schlüssel gefährdet sind. Daher sollten Kunden ihre vorhandenen Schlüsselpaare und Zertifikate widerrufen und neue ausstellen.
- Schritt 3: Aktualisieren Sie vertrauliche Daten, die über SSL / TLS ausgetauscht werden. Kunden sollten beurteilen, ob sensible Daten (z. B. Benutzerpasswörter, Kreditkartendaten), die über SSL / TLS ausgetauscht wurden, möglicherweise kompromittiert wurden. Diese Einschätzung ist kundenspezifisch. Wenn sensible Daten betroffen sind, sollten Kunden in Betracht ziehen, diese Daten ebenfalls zu aktualisieren.
Ort
Kunden mit einem Wartungsvertrag können feste Produktfreigaben von MyMaintenance erhalten.
Referenz
Verweise auf öffentliche Quellen in Bezug auf Sicherheitslücken
http://heartbleed.com
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160
Heartbleed-Zwei-Faktor-Authentifizierungs-Notaufnahme
Behebung des Heartbleed OpenSSL-Fehlers in Finanzinstituten
Behebung des Heartbleed OpenSSL-Fehlers auf MYDIGIPASS.COM
Verbesserte Resilienz gegen Heartbleed-ähnliche Bugs durch Zwei-Faktor-Authentifizierung
Haftungsausschluss
WÄHREND JEDER ANGEMESSENE AUFWAND GEMACHT WIRD, UM GENAUE INFORMATIONEN ZU VERARBEITEN UND ZUR VERFÜGUNG ZU STELLEN, WERDEN ALLE INHALTE UND INFORMATIONEN IN DIESEM DOKUMENT "WIE BESEHEN" UND "WIE VERFÜGBAR" UND OHNE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE VON CUR VOLLSTÄNDIGKEIT ODER EIGNUNG ODER JEGLICHE GEWÄHRLEISTUNG, EINSCHLIESSLICH DER GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN GEBRAUCH ODER ZWECK. DIE NUTZUNG DIESES DOKUMENTS, DER ZUR VERFÜGUNG GESTELLTEN INFORMATIONEN ODER DER MIT DIESEM DOKUMENT VERBUNDENEN MATERIALIEN ERFOLGT AUF EIGENES RISIKO. VASCO behält sich das Recht vor, die Informationen in diesem Dokument jederzeit und nach eigenem Ermessen zu ändern oder zu aktualisieren, sofern neue oder zusätzliche Informationen verfügbar werden.
Copyright © 2014 VASCO Datensicherheit, Inc., VASCO Datensicherheit International GmbH. Alle Rechte vorbehalten.
🖨 OpenSSL Heartbleed-Sicherheitsanfälligkeit in OneSpan-Produkt s