ID de aviso vasco-sa-20150903-DPAuth4CWI
Número de revisión 1.0
Fecha de lanzamiento 03 de septiembre de 2015 01:19 PM UTC + 1
Última actualización 03 de septiembre de 2015 01:19 PM UTC + 1
Resumen
Los auditores de seguridad de la información de la compañía Integrity han informado en privado de una vulnerabilidad de secuencias de comandos entre sitios que puede estar presente en las instalaciones de Citrix Web Interface que usan la autenticación DIGIPASS de OneSpan para el complemento Citrix Web Interface. El problema está presente en la página de inicio de sesión de la interfaz web de Citrix.
Productos impactados
Los siguientes productos están afectados por la vulnerabilidad:
Autenticación DIGIPASS para la interfaz web Citrix
Descripción
El complemento de autenticación DIGIPASS puede configurarse para pasar información a Citrix cuando falla una solicitud de autenticación. Esta información se puede utilizar para proporcionar a los usuarios una explicación de por qué falló su inicio de sesión y los pasos que pueden tomar para corregir el problema. El complemento de autenticación DIGIPASS pasará el error o el código de estado y el texto del mensaje para el servidor de autenticación a Citrix, que luego puede mostrar el mensaje textualmente o interpretar el código para proporcionar al usuario una explicación clara o un conjunto de instrucciones.
Como parte del paquete de instalación, OneSpan proporciona un archivo feedback.inc de muestra que los clientes deben copiar en el directorio de instalación de Citrix. El código en el archivo feedback.inc se ejecuta durante la carga de la página de inicio de sesión de la interfaz web de Citrix. El código de muestra muestra el código de error o estado y el texto del mensaje sin aplicar el filtrado de entrada, lo que resulta en una vulnerabilidad de secuencias de comandos entre sitios reflejada.
Los clientes solo son vulnerables si han reemplazado el archivo feedback.inc con el archivo de muestra proporcionado por OneSpan, o si han actualizado su archivo feedback.inc utilizando el código de muestra disponible en la documentación del producto.
Puntuación de gravedad
Las tablas a continuación denotan la puntuación de vulnerabilidad CVSS 2.0 de las diversas vulnerabilidades.
| Puntuación base de CVSS: 4.3 | |||||
| Vector de acceso | Complejidad de acceso | Autenticación | Impacto de confidencialidad | Impacto de integridad | Impacto de disponibilidad |
| Red | Medio | Ninguna | Parcial | Ninguna | Ninguna |
Arreglos de productos
Desde la próxima fecha de finalización del mantenimiento establecida por Citrix para su producto Citrix Web Interface, OneSpan no lanzará una actualización del complemento de autenticación DIGIPASS para Citrix Web Interface. En cambio, los clientes que hayan modificado el archivo feedback.inc de su producto Citrix Web Interface deben aplicar la solución documentada a continuación.
Para solucionar este problema, un cliente afectado puede usar una de las siguientes soluciones:
El cliente puede reemplazar el archivo feedback.inc con el archivo feedback.inc original proporcionado por Citrix. En este caso, el cliente debe establecer la marca 'Motivo de falla de devolución' sin marcar en el Centro de configuración del complemento de autenticación DIGIPASS.
El cliente puede editar el archivo feedback.inc y eliminar o comentar el código que muestra el motivo de falla de DIGIPASS. Los clientes deben seguir este enfoque si el archivo feedback.inc original ya no está disponible.
Más detalles sobre estas soluciones están disponibles en el artículo KB 140148 de la Base de conocimiento de OneSpan.
Ubicación
OneSpan reconoce los esfuerzos de aquellos en la comunidad de seguridad que nos ayudan a proteger a los clientes a través de la divulgación coordinada de vulnerabilidades. Vea nuestro Salón de la Fama para más información.
Referencia
no aplica
Nota legal
Si bien se hacen todos los esfuerzos razonables para PROCESAR Y PROPORCIONAR INFORMACIÓN QUE sea precisa, TODO EL CONTENIDO Y la información EN ESTE DOCUMENTO SE PROPORCIONAN "TAL CUAL" Y "SEGÚN DISPONIBILIDAD", SIN NINGUNA REPRESENTACIÓN O RESPALDO Y SIN NINGUNA GARANTÍA DE MONEDA EXPRESA O IMPLÍCITA, COMPLETIDAD O ADECUACIÓN, O CUALQUIER GARANTÍA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD O APTITUD PARA UN USO O PROPÓSITO EN PARTICULAR. SU USO DE ESTE DOCUMENTO, CUALQUIER INFORMACIÓN PROPORCIONADA O DE MATERIALES VINCULADOS DE ESTE DOCUMENTO ES BAJO SU PROPIO RIESGO. VASCO SE RESERVA EL DERECHO DE CAMBIAR O ACTUALIZAR LA INFORMACIÓN EN ESTE DOCUMENTO EN CUALQUIER MOMENTO Y A SU DISCRECIÓN, EN CUANTO A CUANDO LA INFORMACIÓN NUEVA O ADICIONAL ESTÉ DISPONIBLE.
Copyright © 2015 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos los derechos reservados.