ID de aviso vasco-sa-20150903-ias
Número de revisión 1.0
Fecha de lanzamiento 23 de marzo de 2015 07:42 PM UTC + 1
Última actualización 25 de marzo de 2015 07:42 PM UTC + 1
Resumen
Auditores de seguridad de la información de la empresa Security BV han informado de manera privada una vulnerabilidad de secuencias de comandos entre sitios que está presente en la función de ayuda de las instalaciones de IDENTIKEY Authentication Server e IDENTIKEY (Virtual) Appliance.
Productos impactados
Los siguientes productos están afectados por la vulnerabilidad:
- Dispositivo IDENTIKEY (virtual) versiones 3.8 y anteriores
- IDENTIKEY Authentication Server versiones 3.8 y anteriores
Descripción
La sección de administración web de IDENTIKEY Authentication Server y IDENTIKEY (Virtual) Appliance también contiene una función de ayuda. Se puede acceder a la función de ayuda en un subdirectorio de la sección de administración web. Se ha encontrado una vulnerabilidad de secuencias de comandos entre sitios en esta función de ayuda.
Para abrir la ayuda en una página en particular, se puede pasar un parámetro especial como parte de la URL de la sección de ayuda. Al reemplazar el valor de este parámetro con un vector de ataque de secuencias de comandos entre sitios especialmente diseñado, el vector de ataque se ejecutará en el contexto del navegador del usuario final.
Puntuación de gravedad
Las tablas a continuación denotan la puntuación de vulnerabilidad CVSS 2.0 de las diversas vulnerabilidades.
| Puntaje base de CVSS: 4.3 4.3 | |||||
| Vector de acceso | Complejidad de acceso | Autenticación | Impacto de confidencialidad | Impacto de integridad | Impacto de disponibilidad |
| Red | Medio | Ninguna | Parcial | Ninguna | Ninguna |
Arreglos de productos
OneSpan corregirá estas vulnerabilidades en las próximas versiones
- Dispositivo IDENTIKEY (virtual) 3.9
- Servidor de autenticación IDENTIKEY 3.9
Ubicación
Los clientes con un contrato de mantenimiento pueden obtener versiones fijas de productos de MyMaintenance.
Los clientes sin contrato de mantenimiento deben comunicarse con su representante de ventas local.
Referencia
OneSpan reconoce los esfuerzos de aquellos en la comunidad de seguridad que nos ayudan a proteger a los clientes a través de la divulgación coordinada de vulnerabilidades. Vea nuestro Salón de la Fama para más información.
Nota legal
Si bien se hacen todos los esfuerzos razonables para PROCESAR Y PROPORCIONAR INFORMACIÓN QUE sea precisa, TODO EL CONTENIDO Y la información EN ESTE DOCUMENTO SE PROPORCIONAN "TAL CUAL" Y "SEGÚN DISPONIBILIDAD", SIN NINGUNA REPRESENTACIÓN O RESPALDO Y SIN NINGUNA GARANTÍA DE MONEDA EXPRESA O IMPLÍCITA, COMPLETIDAD O ADECUACIÓN, O CUALQUIER GARANTÍA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD O APTITUD PARA UN USO O PROPÓSITO EN PARTICULAR. SU USO DE ESTE DOCUMENTO, CUALQUIER INFORMACIÓN PROPORCIONADA O DE MATERIALES VINCULADOS DE ESTE DOCUMENTO ES BAJO SU PROPIO RIESGO. VASCO SE RESERVA EL DERECHO DE CAMBIAR O ACTUALIZAR LA INFORMACIÓN EN ESTE DOCUMENTO EN CUALQUIER MOMENTO Y A SU DISCRECIÓN, EN CUANTO A CUANDO LA INFORMACIÓN NUEVA O ADICIONAL ESTÉ DISPONIBLE.
Copyright © 2015 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos los derechos reservados.