ID de aviso vasco-sa-20140605-openssl
Número de revisión 1.0
Fecha de lanzamiento 13 de abril de 2015 04:30 PM UTC + 1
Última actualización 13 de abril de 2015 04:30 PM UTC + 1
Resumen
El 5 de junio de 2014, el Proyecto OpenSSL publicó un aviso de seguridad que describe siete vulnerabilidades en la biblioteca OpenSSL. Las vulnerabilidades se denominan de la siguiente manera:
- Vulnerabilidad SSL / TLS MITM
- Defecto de recursión DTLS
- Vulnerabilidad de fragmentos inválidos de DTLS
- SSL_MODE_RELEASE_BUFFERS NULL desreferencia de puntero
- SSL_MODE_RELEASE_BUFFERS inyección de sesión o denegación de servicio
- Anonymous ECDH denegación de servicio
- ECDSA NONCE Ataque de recuperación de canal lateral
Varios productos OneSpan incorporan una versión de la biblioteca OpenSSL afectada por una o más vulnerabilidades que podrían permitir que un atacante remoto no autenticado realice un ataque de intermediario, inyecte datos de sesión SSL / TLS o interrumpa la disponibilidad de un servicio.
Productos impactados
Los siguientes productos están afectados por la vulnerabilidad SSL / TLS MITM:
Servidores SSL / TLS
- Servidor IDENTIKEY 3.3, 3.4
- Servidor de autenticación IDENTIKEY 3.4 SR1, 3.5
- IDENTIKEY Federation Server 1.3, 1.4, 1.5
- Dispositivo IDENTIKEY (virtual) 3.4.5. (0,1)
- Dispositivo IDENTIKEY (virtual) 3.4.6. (0,1,2,3)
- Dispositivo IDENTIKEY (virtual) 3.5.7. (1,2,3,4)
- aXsGUARD Gatekeeper 7.0.0 PL19, 7.1.0 PL6, 7.6.5, 7.7.0, 7.7.1, 7.7.2
Clientes SSL / TLS
- Herramienta de sincronización LDAP 1.1, 1.2
- Herramienta de migración de datos 2.0, 2.1, 2.2, 2.3, 2.4
- Autenticación DIGIPASS para Windows Logon 1.1, 1.2
- Autenticación DIGIPASS para Citrix Web Interface 3.3, 3.4, 3.5, 3.6
- Autenticación DIGIPASS para IIS - Basic 3.3, 3.4, 3.5
- Autenticación DIGIPASS para Outlook Web Access - Basic 3.3, 3.4, 3.5
- Autenticación DIGIPASS para Outlook Web Access - Formularios 3.3, 3.4, 3.5
- Autenticación DIGIPASS para acceso web a escritorio remoto 3.4, 3.5, 3.6
- Autenticación DIGIPASS para el servidor RADIUS con correa de acero 3.2, 3.3
- GUARDAS PERSONALES 1.1.3, 2.1.0
Los siguientes productos se ven afectados por la vulnerabilidad de desreferencia de puntero NULL SSL_MODE_RELEASE_BUFFERS:
- IDENTIKEY Federation Server 1.3, 1.4, 1.5
- aXsGUARD Gatekeeper 7.7.0, 7.7.1, 7.7.2
Los siguientes productos están afectados por la inyección de sesión SSL_MODE_RELEASE_BUFFERS o la vulnerabilidad de denegación de servicio:
- IDENTIKEY Federation Server 1.3, 1.4, 1.5
- aXsGUARD Gatekeeper 7.7.0, 7.7.1, 7.7.2
Descripción
El 5 de junio de 2014, el Proyecto OpenSSL publicó un aviso de seguridad que describe siete vulnerabilidades en la biblioteca OpenSSL.
El impacto de esta vulnerabilidad en los productos OneSpan varía según el producto afectado.
SSL / TLS Man-in-the-Middle
Un atacante remoto no autenticado con la capacidad de interceptar el tráfico entre un cliente SSL / TLS afectado y un servidor SSL / TLS podría ejecutar un ataque man-in-the-middle. Esta vulnerabilidad ha sido asignada CVE-2014-0224.
SSL_MODE_RELEASE_BUFFERS NULL desreferencia de puntero
Un atacante remoto no autenticado podría enviar una solicitud maliciosa diseñada para desencadenar una desreferencia de puntero NULL. Esto podría resultar en una condición de denegación de servicio parcial o completa en el dispositivo afectado. Esta vulnerabilidad ha sido asignada CVE-2014-0198.
SSL_MODE_RELEASE_BUFFERS inyección de sesión o denegación de servicio
Un atacante remoto no autenticado podría enviar una solicitud maliciosa diseñada para inyectar contenido en una sesión paralela SSL / TLS o crear una condición de denegación de servicio. Esta vulnerabilidad ha sido asignada CVE-2010-5298.
Para obtener detalles adicionales, los clientes deben consultar el aviso de seguridad del Proyecto OpenSSL: http://www.openssl.org/news/secadv_20140605.txt
Puntuación de gravedad
Las tablas a continuación denotan la puntuación de vulnerabilidad CVSS 2.0 de las diversas vulnerabilidades.
SSl / TLS Man-in-the-Middle
Puntuación temporal de CVSS: 3.6
| Puntaje base de CVSS: 4.3 4.3 | |||||
| Vecto de acceso r | Complejidad de acceso |
Autenticación |
Impacto de confidencialidad | Impacto de integridad | Impacto de disponibilidad |
| Red | Medio | Ninguna | Ninguna | Parcial | Ninguna |
| Explotabilidad | Nivel de remediación | Informar confianza | |||
| Funcional | Arreglo oficial | Confirmado | |||
SSL_MODE_RELEASE_BUFFERS NULL desreferencia de puntero
| Puntaje base de CVSS: 7.1 | |||||
|
Vector de acceso |
Complejidad de acceso |
Autenticación |
Impacto de confidencialidad | Impacto de integridad | Impacto de disponibilidad |
| Red | Medio | Ninguna | Ninguna | Ninguna | Completar |
| Puntuación temporal de CVSS: 7.8 | |||||
| Explotabilidad | Nivel de remediación | Informar confianza | |||
| Funcional | Arreglo oficial | Confirmado | |||
SSL_MODE_RELEASE_BUFFERS inyección de sesión o denegación de servicio
|
Puntaje base de CVSS: 7.8 |
|||||
| Vector de acceso | Complejidad de acceso | Autenticación | Impacto de confidencialidad | Impacto de integridad | Impacto de disponibilidad |
| Red | Medio | Ninguna | Ninguna | Parcial | Completar |
| Puntuación temporal de CVSS: 6.4 | |||||
| Explotabilidad | Nivel de remediación | Informar confianza | |||
| Funcional | Arreglo oficial | Confirmado | |||
Arreglos de productos
OneSpan ha lanzado parches para los siguientes productos:
- IDENTIKEY Federation Server 1.3.2, 1.4.2, 1.5.1 el 13 de junio de 2014
OneSpan lanzará los siguientes parches:
- IDENTIKEY Authentication Server 3.5.4 el 23 de junio de 2014
- IDENTIKEY (Virtual) Appliance 3.5.7.5 el 23 de junio de 2014
- aXsGUARD Gatekeeper 7.7.3, cuya fecha de lanzamiento se anunciará más adelante
Se recomienda a los clientes que usan IDENTIKEY Server 3.3 o 3.4 y a los clientes que usan IDENTIKEY Authentication Server 3.4 SR1 que actualicen a IDENTIKEY Authentication Server 3.5 y apliquen la solución adecuada para esta versión.
Se recomienda a los clientes que utilizan aXsGUARD Gatekeeper actualizar a aXsGUARD Gatekeeper 7.7.3.
Se recomienda a los clientes que utilizan un producto del lado del cliente afectado por la vulnerabilidad SSL / TLS Man-in-the-Middle que actualicen el producto del lado del servidor correspondiente. Este enfoque evitará cualquier impacto ya que se requiere un producto vulnerable del lado del cliente y del lado del servidor para explotar la vulnerabilidad.
Ubicación
Los clientes con un contrato de mantenimiento pueden obtener versiones fijas de productos de MyMaintenance.
Referencia
http://www.openssl.org/news/secadv_20140605.txt
Nota legal
MIENTRAS QUE CADA ESFUERZO RAZONABLE SE HACE PARA PROCESAR Y PROPORCIONAR INFORMACIÓN QUE ES EXACTA, TODO EL CONTENIDO Y LA INFORMACIÓN EN ESTE DOCUMENTO SE PROPORCIONAN "TAL CUAL" Y "SEGÚN DISPONIBILIDAD", SIN NINGUNA REPRESENTACIÓN O RESPALDO Y SIN NINGUNA GARANTÍA DE MONEDA EXPRESA O IMPLÍCITA, COMPLETIDAD O ADECUACIÓN, O CUALQUIER GARANTÍA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD O APTITUD PARA UN USO O PROPÓSITO EN PARTICULAR. SU USO DE ESTE DOCUMENTO, CUALQUIER INFORMACIÓN PROPORCIONADA O DE MATERIALES VINCULADOS DE ESTE DOCUMENTO ES BAJO SU PROPIO RIESGO. VASCO SE RESERVA EL DERECHO DE CAMBIAR O ACTUALIZAR LA INFORMACIÓN EN ESTE DOCUMENTO EN CUALQUIER MOMENTO Y A SU DISCRECIÓN, EN CUANTO A CUANDO LA INFORMACIÓN NUEVA O ADICIONAL ESTÉ DISPONIBLE.
Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos los derechos reservados.
🖨 Múltiples problemas de OpenSSL que afectan a los productos OneSpan