OpenSSL Heartbleed-Sicherheitslücke in OneSpan-Produkten

Beratungs-ID vasco-sa-20140417-heartbleed

Revisionsnummer 1.3

Erscheinungsdatum 17. April 2014 14:45 UTC + 1

Letztes Update 12. Mai 2014 14:45 UTC + 1

Zusammenfassung

Mehrere OneSpan-Produkte enthalten eine Version der OpenSSL-Bibliothek, die von einer Sicherheitsanfälligkeit betroffen ist, die es einem nicht authentifizierten Remote-Gegner ermöglichen kann, Teile von 64 KB aus dem Speicher des OneSpan-Client- oder -Serverprodukts abzurufen. Diese Sicherheitsanfälligkeit wird als Heartbleed-Fehler bezeichnet. 

Die Sicherheitsanfälligkeit beruht auf einer fehlenden Grenzüberprüfung bei der Behandlung der TLS-Heartbeat-Erweiterung (Transport Layer Security), wie in RFC 6520 angegeben. Ein Angreifer kann diese Sicherheitsanfälligkeit ausnutzen, indem er einen bösartigen TLS-Client implementiert, wenn er versucht, die Sicherheitsanfälligkeit auf einem betroffenen Server auszunutzen, oder einen bösartigen TLS-Server, wenn er versucht, die Sicherheitsanfälligkeit auf einem betroffenen Client auszunutzen. Ein Exploit kann ein speziell gestaltetes Heartbeat-Paket an den verbundenen Client oder Server senden. Ein Exploit könnte es dem Angreifer ermöglichen, für jedes gesendete Heartbeat-Paket 64 Kilobyte Speicher von einem verbundenen Client oder Server freizugeben. Die offenbarten Teile des Speichers könnten vertrauliche Informationen wie private Schlüssel und anwendungsspezifische Daten enthalten. 

Diese Sicherheitsanfälligkeit wird mit der ID CVE-2014-0160 für allgemeine Sicherheitsanfälligkeiten bezeichnet.

Betroffene Produkte

Die folgenden OneSpan-Produkte sind vom Heartbleed-Fehler betroffen:

  • Persönlicher aXsGUARD 2.0.0
  • IDENTIKEY Authentication Server 3.5 und Patch 3.5.1
  • IDENTIKEY Appliance 3.5.7.0, 3.5.7.1 und 3.5.7.2
  • IDENTIKEY Virtual Appliance 3.5.7.0, 3.5.7.1 und 3.5.7.2
  • IDENTIKEY Federation Server 1.3 und 1.4
  • MYDIGIPASS.COM
  • DIGIPASS-Authentifizierung für Windows Logon 1.2.0
  • LDAP-Synchronisierungstool 1.3.0
  • DIGIPASS-Authentifizierung für IIS 3.5.0, DIGIPASS-Authentifizierung für Citrix Web Interface 3.6.0, DIGIPASS-Authentifizierung für Outlook Web Access 3.5.0, DIGIPASS-Authentifizierung für Remote Desktop Web Access 3.5.0, DIGIPASS-Authentifizierung für SBR 3.5.

Die aXsGUARD GateKeeper-Appliances und andere OneSpan-Produkte sind von diesem Fehler nicht betroffen.

Beschreibung

Die Auswirkungen dieser Sicherheitsanfälligkeit auf OneSpan-Produkte hängen vom betroffenen Produkt ab. Eine erfolgreiche Ausnutzung der Sicherheitsanfälligkeit kann dazu führen, dass Teile des Arbeitsspeichers von einem Client oder Server freigegeben werden. Die offenbarten Teile des Speichers könnten vertrauliche Informationen wie private Schlüssel und anwendungsspezifische Daten enthalten.

Severity Score

Die folgende Tabelle gibt die CVSS 2.0-Schwachstellenbewertung an.

CVSS Base Score: 5
Greifen Sie auf Vector zu Zugriffskomplexität Authentifizierung Vertraulichkeitswirkung Auswirkungen auf die Integrität Auswirkungen auf die Verfügbarkeit
Netzwerk Niedrig Keiner Teilweise Keiner  Keiner

 

Produktkorrekturen

OneSpan hat am 9. April 2014 seinen Authentifizierungsdienst MYDIGIPASS.COM aktualisiert. 
OneSpan hat Patches für folgende Produkte veröffentlicht:

  • IDENTIKEY Federation Server 1.4.1, veröffentlicht am 10. April 2014
  • IDENTIKEY Federation Server 1.3.1, veröffentlicht am 11. April 2014
  • IDENTIKEY Authentication Server 3.5.2, veröffentlicht am 18. April 2014
  • IDENTIKEY Appliance 3.5.7.3, veröffentlicht am 18. April 2014
  • IDENTIKEY Virtual Appliance 3.5.7.3, veröffentlicht am 18. April 2014
  • DIGIPASS-Authentifizierung für Windows Logon V1.2.1, veröffentlicht am 30. April 2014
  • LDAP Synchronization Tool V1.3.2, veröffentlicht am 9. Mai 2014.
  • DIGIPASS-Authentifizierung für Citrix Webinterface V3.6.1, veröffentlicht am 9. Mai 2014.
  • DIGIPASS-Authentifizierung für OWA Basic 3.5.1, veröffentlicht am 9. Mai 2014.
  • DIGIPASS-Authentifizierung für OWA Forms 3.5.1, veröffentlicht am 9. Mai 2014.
  • DIGIPASS-Authentifizierung für IIS Basic 3.5.1, veröffentlicht am 9. Mai 2014.
  • DIGIPASS-Authentifizierung für Remote Desktop-Webzugriff 3.6.1, veröffentlicht am 9. Mai 2014.
  • DIGIPASS-Authentifizierung für RADIUS-Server mit Stahlgürtel 3.3.1, veröffentlicht am 9. Mai 2014.

 

OneSpan wird folgende Patches veröffentlichen:

  • Persönlicher aXsGUARD 2.1.0

 

Kunden mit betroffenen Produkten sollten die folgenden drei Schritte ausführen, um die Sicherheitsanfälligkeit zu verringern:

  • Schritt 1: Aktualisieren Sie alle betroffenen Produkte mit den von OneSpan bereitgestellten festen Produktversionen
  • Schritt 2: Private SSL / TLS-Schlüssel widerrufen und neue Schlüsselpaare und Zertifikate ausstellen. Aufgrund des Fehlers kann nicht ausgeschlossen werden, dass private SSL / TLS-Schlüssel gefährdet sind. Daher sollten Kunden ihre vorhandenen Schlüsselpaare und Zertifikate widerrufen und neue ausstellen.
  • Schritt 3: Aktualisieren Sie vertrauliche Daten, die über SSL / TLS ausgetauscht werden.  Kunden sollten beurteilen, ob sensible Daten (z. B. Benutzerpasswörter, Kreditkartendaten), die über SSL / TLS ausgetauscht wurden, möglicherweise kompromittiert wurden. Diese Einschätzung ist kundenspezifisch. Wenn sensible Daten betroffen sind, sollten Kunden in Betracht ziehen, diese Daten ebenfalls zu aktualisieren.

Ort

Kunden mit einem Wartungsvertrag können feste Produktfreigaben von MyMaintenance erhalten.

Referenz

Verweise auf öffentliche Quellen in Bezug auf Sicherheitslücken

http://heartbleed.com

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

Heartbleed-Zwei-Faktor-Authentifizierungs-Notaufnahme

Behebung des Heartbleed OpenSSL-Fehlers in Finanzinstituten

Behebung des Heartbleed OpenSSL-Fehlers auf MYDIGIPASS.COM

Verbesserte Resilienz gegen Heartbleed-ähnliche Bugs durch Zwei-Faktor-Authentifizierung

Haftungsausschluss

WÄHREND JEDER ANGEMESSENE AUFWAND GEMACHT WIRD, UM GENAUE INFORMATIONEN ZU VERARBEITEN UND ZUR VERFÜGUNG ZU STELLEN, WERDEN ALLE INHALTE UND INFORMATIONEN IN DIESEM DOKUMENT "WIE BESEHEN" UND "WIE VERFÜGBAR" UND OHNE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE VON CUR VOLLSTÄNDIGKEIT ODER EIGNUNG ODER JEGLICHE GEWÄHRLEISTUNG, EINSCHLIESSLICH DER GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN GEBRAUCH ODER ZWECK. DIE NUTZUNG DIESES DOKUMENTS, DER ZUR VERFÜGUNG GESTELLTEN INFORMATIONEN ODER DER MIT DIESEM DOKUMENT VERBUNDENEN MATERIALIEN ERFOLGT AUF EIGENES RISIKO. VASCO behält sich das Recht vor, die Informationen in diesem Dokument jederzeit und nach eigenem Ermessen zu ändern oder zu aktualisieren, sofern neue oder zusätzliche Informationen verfügbar werden. 

 

Copyright © 2014 VASCO Datensicherheit, Inc., VASCO Datensicherheit International GmbH. Alle Rechte vorbehalten.

🖨 OpenSSL Heartbleed-Sicherheitsanfälligkeit in OneSpan-Produkt s