Vulnerabilidades abiertas de scripts de redireccionamiento y sitios cruzados en los productos OneSpan IDENTIKEY

ID de aviso vasco-sa-20141029-xss

Número de revisión 1.1

Fecha de lanzamiento 29 de octubre de 2014 01:53 PM UTC + 1

Última actualización 13 de noviembre de 2014 01:54 PM UTC + 1

Resumen

El 23 de septiembre de 2014, OneSpan se dio cuenta de una vulnerabilidad de redireccionamiento abierto y scripting entre sitios en los sitios web del servidor de autenticación IDENTIKEY de OneSpan y el sitio web de administración de dispositivos IDENTIKEY. La vulnerabilidad de redireccionamiento abierto podría usarse en ataques de phishing para que los usuarios visiten sitios maliciosos sin darse cuenta, mientras que las vulnerabilidades de scripting entre sitios podrían permitir a un atacante inyectar scripts maliciosos en páginas web y obtener privilegios de acceso elevados al contenido de páginas confidenciales. , cookies de sesión y otra información.

Productos impactados

Los siguientes productos se ven afectados por las vulnerabilidades:

  • Servidor de autenticación IDENTIKEY 3.3 a 3.6.
  • Los sitios web del servidor de autenticación IDENTIKEY forman parte del dispositivo IDENTIKEY 3.4.6.2 a 3.6.8.0.
  • Dispositivo IDENTIKEY 3.5.7. {1-6} y 3.6.8.0.

Descripción

Los sitios web de OneSpan IDENTIKEY Authentication Server están sujetos a una vulnerabilidad de redireccionamiento abierto que podría permitir que un atacante realice ataques de phishing. También están sujetos a vulnerabilidades de secuencias de comandos entre sitios que podrían permitir a un atacante inyectar secuencias de comandos maliciosas en las páginas web afectadas, y utilizar este vector de ataque para, por ejemplo, robar cookies de sesión.

Puntuación de gravedad

La siguiente tabla denota la puntuación de vulnerabilidad CVSS 2.0 de las diversas vulnerabilidades.

Puntaje base de CVSS: 5.0

Vector de acceso Complejidad de acceso

Autenticación

Impacto de confidencialidad Impacto de integridad Impacto de disponibilidad
Red Bajo Ninguna Parcial Ninguna Ninguna

 

Puntuación temporal de CVSS: 4.8

Explotabilidad Nivel de remediación Informar confianza
Funcional Indisponible Confirmado

 

Arreglos de productos

OneSpan lanzará los siguientes parches:

  • IDENTIKEY Authentication Server Websites 3.6.1, el 28 de noviembre de 2014
  • Dispositivo IDENTIKEY 3.6.8.1, el 28 de noviembre de 2014

Los clientes que hayan implementado uno de los paquetes independientes del sitio web del servidor de autenticación IDENTIKEY afectado deben desinstalar este paquete e instalar los sitios web del servidor de autenticación IDENTIKEY 3.6.1.

Los clientes que han implementado los sitios web del Servidor de autenticación IDENTIKEY afectados como parte del Servidor de autenticación IDENTIKEY deben desinstalar esta característica de la instalación del Servidor de autenticación IDENTIKEY e instalar los Sitios web del Servidor de autenticación IDENTIKEY 3.6.1.

Se recomienda a los clientes que utilizan versiones afectadas de IDENTIKEY Appliance que actualicen a IDENTIKEY Appliance 3.6.8.1.

Ubicación

Para el servidor de autenticación IDENTIKEY:

Los clientes con un contrato de mantenimiento pueden obtener versiones fijas de productos de MyMaintenance. Los clientes sin contrato de mantenimiento deben comunicarse con su representante de ventas local.

Para el dispositivo IDENTIKEY:

Los clientes con un contrato de mantenimiento pueden obtener versiones fijas de productos de MyMaintenance o elegir una actualización en línea en el asistente de actualización de IDENTIKEY Appliance. Los clientes sin contrato de mantenimiento deben comunicarse con su representante de ventas local.

Referencia

OneSpan desea agradecer a Richard Dalton de Rits Information Security por informar las vulnerabilidades a OneSpan PSIRT.

Nota legal

MIENTRAS QUE CADA ESFUERZO RAZONABLE SE HACE PARA PROCESAR Y PROPORCIONAR INFORMACIÓN QUE ES EXACTA, TODO EL CONTENIDO Y LA INFORMACIÓN EN ESTE DOCUMENTO SE PROPORCIONAN "TAL CUAL" Y "SEGÚN DISPONIBILIDAD", SIN NINGUNA REPRESENTACIÓN O RESPALDO Y SIN NINGUNA GARANTÍA DE MONEDA EXPRESA O IMPLÍCITA, COMPLETIDAD O ADECUACIÓN, O CUALQUIER GARANTÍA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD O APTITUD PARA UN USO O PROPÓSITO EN PARTICULAR. SU USO DE ESTE DOCUMENTO, CUALQUIER INFORMACIÓN PROPORCIONADA O DE MATERIALES VINCULADOS DE ESTE DOCUMENTO ES BAJO SU PROPIO RIESGO. VASCO SE RESERVA EL DERECHO DE CAMBIAR O ACTUALIZAR LA INFORMACIÓN EN ESTE DOCUMENTO EN CUALQUIER MOMENTO Y A SU DISCRECIÓN, EN CUANTO A CUANDO LA INFORMACIÓN NUEVA O ADICIONAL ESTÉ DISPONIBLE.

 

Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos los derechos reservados.

Vulnera Vulnerabilidades abiertas de scripts de redireccionamiento y sitios cruzados en los productos OneSpan IDENTIKEY