ID de aviso vasco-sa-20151126-ias
Número de revisión 1.0
Fecha de lanzamiento 26 de noviembre de 2015 14:10 UTC + 1
Última actualización 26 de noviembre de 2015 14:10 UTC + 1
Resumen
Ciertas versiones de Apache Struts se ven afectadas por una vulnerabilidad de secuencias de comandos entre sitios cuando el modo de depuración está activado o cuando las JSP están expuestas en un entorno de producción. Estas versiones de Apache Struts se están utilizando en IDENTIKEY Authentication Server. Aunque el modo de depuración está desactivado, algunos JSP son accesibles directamente en el servidor IAS.
Productos impactados
- Dispositivo IDENTIKEY (virtual) versiones 3.8 y anteriores
- IDENTIKEY Authentication Server versiones 3.8 y anteriores
Descripción
El proyecto Apache Struts anunció en octubre de 2015 que Apache Struts versión 2.0.0 hasta la versión 2.3.16.3 se ven afectados por una vulnerabilidad de secuencias de comandos entre sitios cuando el modo de depuración está activado o cuando los archivos JSP están expuestos en un entorno de producción. Se han asignado dos identificadores CVE a estas vulnerabilidades:
- CVE-2015-5169: Apache Struts es vulnerable a una vulnerabilidad de secuencias de comandos entre sitios cuando el modo de depuración está habilitado. Un atacante remoto podría aprovechar esta vulnerabilidad utilizando una URL especialmente diseñada para ejecutar el script en el navegador web de la víctima dentro del contexto de seguridad del sitio web de alojamiento, una vez que se hace clic en la URL.
- CVE-2015-2992: Apache Struts es vulnerable a una vulnerabilidad de secuencias de comandos entre sitios al acceder directamente a archivos JSP. Un atacante remoto podría aprovechar esta vulnerabilidad utilizando una URL especialmente diseñada para ejecutar el script en el navegador web de la víctima dentro del contexto de seguridad del sitio web de alojamiento, una vez que se hace clic en la URL.
La vulnerabilidad CVE-2015-5169 no es aplicable al Servicio de autenticación IDENTIKEY ya que el modo de depuración está deshabilitado de manera predeterminada.
La vulnerabilidad CVE-2015-2992 es aplicable ya que hay algunos archivos JSP a los que se puede acceder directamente mediante un navegador.
Puntuación de gravedad
| Puntuación base de CVSS: 4.3 | |||||
| Vector de acceso |
Complejidad de acceso |
Autenticación | Impacto de confidencialidad | Impacto de integridad | Impacto de disponibilidad |
| Red | Medio | Ninguna | Ninguna | Parcial | Ninguna |
Arreglos de productos
OneSpan corregirá estas vulnerabilidades en las siguientes versiones:
- Dispositivo IDENTIKEY (virtual) 3.9
- Servidor de autenticación IDENTIKEY 3.9
Los clientes pueden proteger su instalación IAS haciendo una modificación en el archivo de configuración web.xml. Esta modificación prohibirá el acceso directo a los JSP que no deberían ser accesibles directamente.
Para cambiar la configuración, las siguientes restricciones de seguridad y roles de seguridad deben agregarse al cuerpo de la aplicación web en el archivo de configuración web.xml:
Sin acceso directo a JSP
No-JSP
/ decoradores / *
/incluir/*
/ páginas / *
/ magos / *
no usuarios
No asigne usuarios a este rol
no usuarios
Ubicación
Los clientes con un contrato de mantenimiento pueden obtener versiones fijas de productos de MyMaintenance. Los clientes sin contrato de mantenimiento deben comunicarse con su representante de ventas local.
Referencia
- Boletín de seguridad Apache Struts S2-025 - https://struts.apache.org/docs/s2-025.html
- http://jvn.jp/en/jp/JVN88408929/index.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2992
Nota legal
MIENTRAS QUE CADA ESFUERZO RAZONABLE SE HACE PARA PROCESAR Y PROPORCIONAR INFORMACIÓN QUE ES EXACTA, TODO EL CONTENIDO Y LA INFORMACIÓN EN ESTE DOCUMENTO SE PROPORCIONAN "TAL CUAL" Y "SEGÚN DISPONIBILIDAD", SIN NINGUNA REPRESENTACIÓN O RESPALDO Y SIN NINGUNA GARANTÍA DE MONEDA EXPRESA O IMPLÍCITA, COMPLETIDAD O ADECUACIÓN, O CUALQUIER GARANTÍA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD O APTITUD PARA UN USO O PROPÓSITO EN PARTICULAR. SU USO DE ESTE DOCUMENTO, CUALQUIER INFORMACIÓN PROPORCIONADA O DE MATERIALES VINCULADOS DE ESTE DOCUMENTO ES BAJO SU PROPIO RIESGO. VASCO SE RESERVA EL DERECHO DE CAMBIAR O ACTUALIZAR LA INFORMACIÓN EN ESTE DOCUMENTO EN CUALQUIER MOMENTO Y A SU DISCRECIÓN, EN CUANTO A CUANDO LA INFORMACIÓN NUEVA O ADICIONAL ESTÉ DISPONIBLE.
Copyright © 2015 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos los derechos reservados.