Vulnerabilidad de GHIB glibc en productos OneSpan

ID de aviso vasco-sa-20150202-fantasma

Número de revisión 1.0

Fecha de lanzamiento 04 de febrero de 2015 01:50 PM UTC + 1

Última actualización 04 de febrero de 2015 01:50 PM UTC + 1

Resumen

El 27 de enero de 2015, investigadores de seguridad de Qualys anunciaron públicamente una vulnerabilidad en la biblioteca GNU C, conocida como glibc. La vulnerabilidad, que comúnmente se conoce como GHOST, puede permitir que un atacante no autenticado, local o remoto tome el control de los sistemas. La primera versión vulnerable de la Biblioteca GNU C es glibc-2.2, lanzada el 10 de noviembre de 2000.

Productos impactados

Los siguientes productos están afectados por la vulnerabilidad GHOST:

  • IDENTIKEY Federation Server 1.4, 1.5
  • Dispositivo IDENTIKEY (todas las versiones)
  • aXsGUARD Gatekeeper (todas las versiones)

Descripción

El GNU C library glibc es la implementación de la biblioteca estándar del lenguaje de programación C por parte del Proyecto GNU. La biblioteca estándar C proporciona funciones básicas para la interacción con los servicios del sistema operativo, el procesamiento de entrada / salida, la asignación de memoria y otros tipos de funciones.

La biblioteca GNU C contiene una función llamada __nss_hostname_digits_dots (), que es utilizada por las funciones gethostbyname () y gethostbyname2 (). Las dos últimas funciones permiten a las aplicaciones resolver consultas DNS.

La función __nss_hostname_digits_dots () contiene un desbordamiento de búfer basado en el montón. Un atacante local o remoto puede usar esta vulnerabilidad para ejecutar código arbitrario con los permisos del usuario que ejecuta la aplicación.

Sin embargo, las funciones gethostbyname () y gethostbyname2 () han quedado en desuso durante aproximadamente quince años, principalmente debido a la falta de soporte de IPv6.

La vulnerabilidad se conoce comúnmente como GHOST y se le ha asignado el ID de vulnerabilidad y exposición común (CVE) CVE-2015-0235.

Puntuación de gravedad

La siguiente tabla denota la puntuación de vulnerabilidad CVSS 2.0 de las diversas vulnerabilidades.
 

Puntuación base de CVSS: 10.0
Vector de acceso

Complejidad de acceso

 Autenticación Impacto de confidencialidad Impacto de integridad Impacto de disponibilidad
Red Bajo Ninguna Completar Completar Completar

 

Arreglos de productos

OneSpan lanzará los siguientes parches:

  • IDENTIKEY Federation Server 1.4.5 y 1.5.4 el 6 de febrero de 2015
  • Dispositivo IDENTIKEY 3.8.9.0 en abril de 2015
  • Para aXsGUARD Gatekeeper 8.1.0: Hotfix 001 el 6 de febrero de 2015

OneSpan recomienda a los clientes que utilicen IDENTIKEY Authentication Server 3.4 SR1 y 3.5 para actualizar a la versión 3.6. OneSpan recomienda a los clientes que utilicen IDENTIKEY Authentication Server 3.6 para actualizar la biblioteca glibc utilizando el sistema de actualización de su distribución.

Ubicación

Para los productos aXsGUARD Gatekeeper:

OneSpan implementará parches a través del servicio de actualización automatizado. Los clientes que no permiten que su sistema reciba actualizaciones a través de este servicio deben comunicarse con OneSpan para obtener instrucciones sobre cómo obtener el parche.

Para otros productos

Los clientes con un contrato de mantenimiento pueden obtener versiones fijas de productos de MyMaintenance. Los clientes sin contrato de mantenimiento deben comunicarse con su representante de ventas local.

Referencia

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235

Nota legal

MIENTRAS QUE CADA ESFUERZO RAZONABLE SE HACE PARA PROCESAR Y PROPORCIONAR INFORMACIÓN QUE ES EXACTA, TODO EL CONTENIDO Y LA INFORMACIÓN EN ESTE DOCUMENTO SE PROPORCIONAN "TAL CUAL" Y "SEGÚN DISPONIBILIDAD", SIN NINGUNA REPRESENTACIÓN O RESPALDO Y SIN NINGUNA GARANTÍA DE MONEDA EXPRESA O IMPLÍCITA, COMPLETIDAD O ADECUACIÓN, O CUALQUIER GARANTÍA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD O APTITUD PARA UN USO O PROPÓSITO EN PARTICULAR. SU USO DE ESTE DOCUMENTO, CUALQUIER INFORMACIÓN PROPORCIONADA O DE MATERIALES VINCULADOS DE ESTE DOCUMENTO ES BAJO SU PROPIO RIESGO. VASCO SE RESERVA EL DERECHO DE CAMBIAR O ACTUALIZAR LA INFORMACIÓN EN ESTE DOCUMENTO EN CUALQUIER MOMENTO Y A SU DISCRECIÓN, EN CUANTO A CUANDO LA INFORMACIÓN NUEVA O ADICIONAL ESTÉ DISPONIBLE.

Copyright © 2015 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos los derechos reservados.

Vulnerability Vulnerabilidad GHIB glibc en productos OneSpan