Vulnerabilidad de OpenSSL Heartbleed en productos OneSpan

ID de aviso Vasco-sa-20140417-heartbleed

Número de revisión 1.3

Fecha de lanzamiento 17 de abril de 2014 14:45 UTC + 1

Última actualización 12 de mayo de 2014 14:45 UTC + 1

Resumen

Varios productos OneSpan incorporan una versión de la biblioteca OpenSSL afectada por una vulnerabilidad que podría permitir que un adversario remoto no autenticado recupere porciones de 64 kilobytes de la memoria del cliente o servidor OneSpan. Esta vulnerabilidad se conoce como el error Heartbleed. 

La vulnerabilidad se debe a una verificación de límites faltantes en el manejo de la extensión de latido de Seguridad de la capa de transporte (TLS), como se especifica en RFC 6520. Un adversario podría explotar esta vulnerabilidad implementando un cliente TLS malicioso, si intenta explotar la vulnerabilidad en un servidor afectado, o un servidor TLS malicioso, si intenta explotar la vulnerabilidad en un cliente afectado. Un exploit podría enviar un paquete de latidos especialmente diseñado al cliente o servidor conectado. Un exploit podría permitir al adversario revelar 64 kilobytes de memoria de un cliente o servidor conectado por cada paquete de latido enviado. Las porciones de memoria divulgadas podrían incluir información confidencial, como claves privadas y datos específicos de la aplicación. 

Se hace referencia a esta vulnerabilidad utilizando el ID de vulnerabilidad y exposición común CVE-2014-0160.

Productos impactados

Los siguientes productos OneSpan se ven afectados por el error Heartbleed:

  • Personal aXsGUARD 2.0.0
  • Servidor de autenticación IDENTIKEY 3.5 y parche 3.5.1
  • Dispositivo IDENTIKEY 3.5.7.0, 3.5.7.1 y 3.5.7.2
  • IDENTIKEY Virtual Appliance 3.5.7.0, 3.5.7.1 y 3.5.7.2
  • IDENTIKEY Federation Server 1.3 y 1.4
  • MYDIGIPASS.COM
  • Autenticación DIGIPASS para Windows Logon 1.2.0
  • Herramienta de sincronización LDAP 1.3.0
  • Autenticación DIGIPASS para IIS 3.5.0, Autenticación DIGIPASS para Citrix Web Interface 3.6.0, Autenticación DIGIPASS para Outlook Web Access 3.5.0, Autenticación DIGIPASS para Escritorio remoto Web Access 3.5.0, Autenticación DIGIPASS para SBR 3.5.

Los dispositivos aXsGUARD GateKeeper y otros productos OneSpan no se ven afectados por este error.

Descripción

El impacto de esta vulnerabilidad en los productos OneSpan varía según el producto afectado. La explotación exitosa de la vulnerabilidad puede hacer que se divulguen porciones de memoria de un cliente o servidor. Las porciones de memoria divulgadas podrían incluir información confidencial, como claves privadas y datos específicos de la aplicación.

Puntuación de gravedad

La siguiente tabla denota la puntuación de vulnerabilidad CVSS 2.0.

Puntuación base de CVSS: 5
Vector de acceso Complejidad de acceso Autenticación Impacto de confidencialidad Impacto de integridad Impacto de disponibilidad
Red Bajo Ninguna Parcial Ninguna  Ninguna

 

Arreglos de productos

OneSpan ha actualizado su servicio de autenticación MYDIGIPASS.COM el 9 de abril de 2014. 
OneSpan ha lanzado parches para los siguientes productos:

  • IDENTIKEY Federation Server 1.4.1, lanzado el 10 de abril de 2014
  • IDENTIKEY Federation Server 1.3.1, lanzado el 11 de abril de 2014
  • Servidor de autenticación IDENTIKEY 3.5.2, lanzado el 18 de abril de 2014
  • IDENTIKEY Appliance 3.5.7.3, lanzado el 18 de abril de 2014
  • IDENTIKEY Virtual Appliance 3.5.7.3, lanzado el 18 de abril de 2014
  • Autenticación DIGIPASS para Windows Logon V1.2.1, lanzado el 30 de abril de 2014
  • LDAP Synchronization Tool V1.3.2, lanzada el 9 de mayo de 2014.
  • Autenticación DIGIPASS para Citrix Web Interface V3.6.1, lanzada el 9 de mayo de 2014.
  • Autenticación DIGIPASS para OWA Basic 3.5.1, lanzada el 9 de mayo de 2014.
  • Autenticación DIGIPASS para OWA Forms 3.5.1, lanzada el 9 de mayo de 2014.
  • Autenticación DIGIPASS para IIS Basic 3.5.1, lanzada el 9 de mayo de 2014.
  • Autenticación DIGIPASS para Remote Desktop Web Access 3.6.1, lanzada el 9 de mayo de 2014.
  • Autenticación DIGIPASS para el servidor RADIUS con correa de acero 3.3.1, lanzado el 9 de mayo de 2014.

 

OneSpan lanzará los siguientes parches:

  • Personal aXsGUARD 2.1.0

 

Los clientes con productos afectados deben seguir los siguientes tres pasos para mitigar la vulnerabilidad:

  • Paso 1: actualice todos los productos afectados utilizando las versiones fijas de productos proporcionadas por OneSpan
  • Paso 2: revoque las claves privadas SSL / TLS y emita nuevos pares de claves y certificados. Debido al error, no se puede excluir que las claves privadas SSL / TLS se vean comprometidas. Por lo tanto, los clientes deben revocar sus pares de claves y certificados existentes y emitir otros nuevos.
  • Paso 3: actualizar datos confidenciales intercambiados utilizando SSL / TLS.  Los clientes deben evaluar si los datos confidenciales (por ejemplo, contraseñas de usuario, detalles de tarjetas de crédito) intercambiados a través de SSL / TLS podrían haber sido comprometidos. Esta evaluación es específica del cliente. Si los datos confidenciales se ven afectados, los clientes también deberían considerar actualizar estos datos.

Ubicación

Los clientes con un contrato de mantenimiento pueden obtener versiones fijas de productos de MyMaintenance.

Referencia

Referencias a fuentes públicas relacionadas con la vulnerabilidad.

http://heartbleed.com

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

Sala de emergencias de autenticación de dos factores Heartbleed

Abordar el error de OpenSSL Heartbleed en instituciones financieras

Abordar el error OpenSSL Heartbleed en MYDIGIPASS.COM

Aumento de la resistencia frente a errores similares a los de Heartbleed mediante la autenticación de dos factores

Nota legal

MIENTRAS QUE CADA ESFUERZO RAZONABLE SE HACE PARA PROCESAR Y PROPORCIONAR INFORMACIÓN QUE ES EXACTA, TODO EL CONTENIDO Y LA INFORMACIÓN EN ESTE DOCUMENTO SE PROPORCIONAN "TAL CUAL" Y "SEGÚN DISPONIBILIDAD", SIN NINGUNA REPRESENTACIÓN O RESPALDO Y SIN NINGUNA GARANTÍA DE MONEDA EXPRESA O IMPLÍCITA, COMPLETIDAD O ADECUACIÓN, O CUALQUIER GARANTÍA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD O APTITUD PARA UN USO O PROPÓSITO EN PARTICULAR. SU USO DE ESTE DOCUMENTO, CUALQUIER INFORMACIÓN PROPORCIONADA O DE MATERIALES VINCULADOS DE ESTE DOCUMENTO ES BAJO SU PROPIO RIESGO. VASCO SE RESERVA EL DERECHO DE CAMBIAR O ACTUALIZAR LA INFORMACIÓN EN ESTE DOCUMENTO EN CUALQUIER MOMENTO Y A SU DISCRECIÓN, EN CUANTO A CUANDO LA INFORMACIÓN NUEVA O ADICIONAL ESTÉ DISPONIBLE. 

 

Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos los derechos reservados.

🖨 OpenSSL Heartbleed Vulnerability en productos OneSpan