ID de aviso vasco-sa-20141029-xss
Número de revisión 1.1
Fecha de lanzamiento 29 de octubre de 2014 01:53 PM UTC + 1
Última actualización 13 de noviembre de 2014 01:54 PM UTC + 1
Resumen
El 23 de septiembre de 2014, OneSpan se dio cuenta de una vulnerabilidad de redireccionamiento abierto y scripting entre sitios en los sitios web del servidor de autenticación IDENTIKEY de OneSpan y el sitio web de administración de dispositivos IDENTIKEY. La vulnerabilidad de redireccionamiento abierto podría usarse en ataques de phishing para que los usuarios visiten sitios maliciosos sin darse cuenta, mientras que las vulnerabilidades de scripting entre sitios podrían permitir a un atacante inyectar scripts maliciosos en páginas web y obtener privilegios de acceso elevados al contenido de páginas confidenciales. , cookies de sesión y otra información.
Productos impactados
Los siguientes productos se ven afectados por las vulnerabilidades:
- Servidor de autenticación IDENTIKEY 3.3 a 3.6.
- Los sitios web del servidor de autenticación IDENTIKEY forman parte del dispositivo IDENTIKEY 3.4.6.2 a 3.6.8.0.
- Dispositivo IDENTIKEY 3.5.7. {1-6} y 3.6.8.0.
Descripción
Los sitios web de OneSpan IDENTIKEY Authentication Server están sujetos a una vulnerabilidad de redireccionamiento abierto que podría permitir que un atacante realice ataques de phishing. También están sujetos a vulnerabilidades de secuencias de comandos entre sitios que podrían permitir a un atacante inyectar secuencias de comandos maliciosas en las páginas web afectadas, y utilizar este vector de ataque para, por ejemplo, robar cookies de sesión.
Puntuación de gravedad
La siguiente tabla denota la puntuación de vulnerabilidad CVSS 2.0 de las diversas vulnerabilidades.
Puntaje base de CVSS: 5.0 |
|||||
Vector de acceso | Complejidad de acceso |
Autenticación |
Impacto de confidencialidad | Impacto de integridad | Impacto de disponibilidad |
Red | Bajo | Ninguna | Parcial | Ninguna | Ninguna |
Puntuación temporal de CVSS: 4.8 |
||
Explotabilidad | Nivel de remediación | Informar confianza |
Funcional | Indisponible | Confirmado |
Arreglos de productos
OneSpan lanzará los siguientes parches:
- IDENTIKEY Authentication Server Websites 3.6.1, el 28 de noviembre de 2014
- Dispositivo IDENTIKEY 3.6.8.1, el 28 de noviembre de 2014
Los clientes que hayan implementado uno de los paquetes independientes del sitio web del servidor de autenticación IDENTIKEY afectado deben desinstalar este paquete e instalar los sitios web del servidor de autenticación IDENTIKEY 3.6.1.
Los clientes que han implementado los sitios web del Servidor de autenticación IDENTIKEY afectados como parte del Servidor de autenticación IDENTIKEY deben desinstalar esta característica de la instalación del Servidor de autenticación IDENTIKEY e instalar los Sitios web del Servidor de autenticación IDENTIKEY 3.6.1.
Se recomienda a los clientes que utilizan versiones afectadas de IDENTIKEY Appliance que actualicen a IDENTIKEY Appliance 3.6.8.1.
Ubicación
Para el servidor de autenticación IDENTIKEY:
Los clientes con un contrato de mantenimiento pueden obtener versiones fijas de productos de MyMaintenance. Los clientes sin contrato de mantenimiento deben comunicarse con su representante de ventas local.
Para el dispositivo IDENTIKEY:
Los clientes con un contrato de mantenimiento pueden obtener versiones fijas de productos de MyMaintenance o elegir una actualización en línea en el asistente de actualización de IDENTIKEY Appliance. Los clientes sin contrato de mantenimiento deben comunicarse con su representante de ventas local.
Referencia
OneSpan desea agradecer a Richard Dalton de Rits Information Security por informar las vulnerabilidades a OneSpan PSIRT.
Nota legal
MIENTRAS QUE CADA ESFUERZO RAZONABLE SE HACE PARA PROCESAR Y PROPORCIONAR INFORMACIÓN QUE ES EXACTA, TODO EL CONTENIDO Y LA INFORMACIÓN EN ESTE DOCUMENTO SE PROPORCIONAN "TAL CUAL" Y "SEGÚN DISPONIBILIDAD", SIN NINGUNA REPRESENTACIÓN O RESPALDO Y SIN NINGUNA GARANTÍA DE MONEDA EXPRESA O IMPLÍCITA, COMPLETIDAD O ADECUACIÓN, O CUALQUIER GARANTÍA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD O APTITUD PARA UN USO O PROPÓSITO EN PARTICULAR. SU USO DE ESTE DOCUMENTO, CUALQUIER INFORMACIÓN PROPORCIONADA O DE MATERIALES VINCULADOS DE ESTE DOCUMENTO ES BAJO SU PROPIO RIESGO. VASCO SE RESERVA EL DERECHO DE CAMBIAR O ACTUALIZAR LA INFORMACIÓN EN ESTE DOCUMENTO EN CUALQUIER MOMENTO Y A SU DISCRECIÓN, EN CUANTO A CUANDO LA INFORMACIÓN NUEVA O ADICIONAL ESTÉ DISPONIBLE.
Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos los derechos reservados.