Vulnerabilidad CVE-2015-7547 en productos OneSpan

ID de aviso vasco-sa-20160223-glibc

Número de revisión 1.0

Fecha de lanzamiento 23 de febrero de 2016 12:00 p.m. UTC + 1

Última actualización 23 de febrero de 2016 12:00 p.m. UTC + 1

Resumen

El martes 16 de febrero de 2016, los ingenieros de Google publicaron una publicación de blog sobre una vulnerabilidad encontrada en todas las versiones de glibc desde 2.9. La publicación del blog explica que el solucionador del lado del cliente DNS glibc es vulnerable a un desbordamiento del búfer basado en la pila cuando se utiliza la función de biblioteca getaddrinfo (). El software que utiliza esta función puede explotarse con nombres de dominio controlados por el atacante, servidores DNS controlados por el atacante o mediante un ataque man-in-the-middle.

Productos impactados

Los siguientes productos están afectados por la vulnerabilidad CVE-2015-7547: 

  • IDENTIKEY Federation Server 1.6 
  • Dispositivo IDENTIKEY 3.4.5.0 y posterior 
  • AXSGUARD Gatekeeper 7.7.0 y posterior 

Aunque la versión vulnerable de glibc se usa en estos productos, OneSpan califica la explotación como baja debido a la forma en que se utiliza el solucionador del lado del cliente DNS en los productos.

Descripción

La siguiente descripción de vulnerabilidad se extrae de la Base de datos de vulnerabilidad nacional NIST: 

“Múltiples desbordamientos de búfer basados en la pila en las funciones (1) send_dg y (2) send_vc en la biblioteca libreolv en la Biblioteca GNU C (también conocida como glibc o libc6) antes de 2.23 permiten que los atacantes remotos causen una denegación de servicio (bloqueo) o posiblemente ejecutar código arbitrario a través de una respuesta DNS diseñada que activa una llamada a la función getaddrinfo con la familia de direcciones AF_UNSPEC o AF_INET6, relacionada con la realización de "consultas DNS A / AAAA duales" y el módulo libnss_dns.so.2 NSS ".

Puntuación de gravedad

La siguiente tabla indica la puntuación de vulnerabilidad CVSS 2.0 de vulnerabilidad CVE-2015-7547. 

Puntuación base de CVSS: 6.8 (medio)
Vector de acceso Complejidad de acceso Autenticación Impacto de confidencialidad Impacto de integridad Impacto de disponibilidad
Red Medio Ninguna Parcial Parcial Parcial

 

Arreglos de productos

OneSpan reparará la vulnerabilidad CVE-2015-7547 en las siguientes versiones: 

  • IDENTIKEY Federation Server 1.6.1 (se lanzará en el primer trimestre de 2016) 
  • Dispositivo IDENTIKEY (Virtual) 3.10.11.0 (que se lanzará en el segundo trimestre de 2016) 
  • AXSGUARD GateKeeper 8.2.1 (se lanzará en el segundo trimestre de 2016) 

OneSpan recomienda a los clientes que utilicen el servidor de autenticación IDENTIKEY para actualizar la biblioteca glibc utilizando el sistema de actualización de su distribución.

Ubicación

Para los productos aXsGUARD Gatekeeper: 

- OneSpan implementará parches a través del servicio de actualización automatizado. Los clientes que no permiten que su sistema reciba actualizaciones a través de este servicio deben comunicarse con OneSpan para obtener instrucciones sobre cómo obtener el parche. 

Para otros productos: 

- Los clientes con un contrato de mantenimiento pueden obtener versiones fijas de productos de MyMaintenance. Los clientes sin contrato de mantenimiento deben comunicarse con su representante de ventas local.

Referencia

Recursos adicionales:

- CVE-2015-7547

- Blog de seguridad en línea de Google

Nota legal

MIENTRAS QUE CADA ESFUERZO RAZONABLE SE HACE PARA PROCESAR Y PROPORCIONAR INFORMACIÓN QUE ES EXACTA, TODO EL CONTENIDO Y LA INFORMACIÓN EN ESTE DOCUMENTO SE PROPORCIONAN "TAL CUAL" Y "SEGÚN DISPONIBILIDAD", SIN NINGUNA REPRESENTACIÓN O RESPALDO Y SIN NINGUNA GARANTÍA DE MONEDA EXPRESA O IMPLÍCITA, COMPLETIDAD O ADECUACIÓN, O CUALQUIER GARANTÍA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD O APTITUD PARA UN USO O PROPÓSITO EN PARTICULAR. SU USO DE ESTE DOCUMENTO, CUALQUIER INFORMACIÓN PROPORCIONADA O DE MATERIALES VINCULADOS DE ESTE DOCUMENTO ES BAJO SU PROPIO RIESGO. VASCO SE RESERVA EL DERECHO DE CAMBIAR O ACTUALIZAR LA INFORMACIÓN EN ESTE DOCUMENTO EN CUALQUIER MOMENTO Y A SU DISCRECIÓN, EN CUANTO A CUANDO LA INFORMACIÓN NUEVA O ADICIONAL ESTÉ DISPONIBLE. Copyright © 2016 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos los derechos reservados.

Vulnerabilidad CVE-2015-7547 en el producto OneSpan s