Avis ID vasco-sa-20150903-ias
Numéro de révision 1.0
Date de sortie 23 mars 2015 07:42 UTC-1
Dernière mise à jour 25 mars 2015 07:42 UTC-1
Résumé
Vérificateurs de la sécurité de l'information de la société Security B.V. ont signalé en privé une vulnérabilité de script inter-site qui est présente dans la fonction d'assistance de IDENTIKEY Authentication Server et IDENTIKEY (Virtual) Installations d'appareils.
Produits touchés
Les produits suivants sont affectés par la vulnérabilité :
- IDENTIKEY (Virtual) Appliance versions 3.8 et plus tôt
- IDENTIKEY Authentication Server versions 3.8 et plus tôt
Description
La section d'administration Web du serveur d'authentation IDENTIKEY et de l'appareil IDENTIKEY (Virtual) contient également une fonction d'aide. La fonction d'aide est accessible dans une sous-direction de la section administration web. Une vulnérabilité de script inter-site a été trouvée dans cette fonction d'aide.
Afin d'ouvrir l'aide sur une page particulière, un paramètre spécial peut être passé dans le cadre de l'URL de la section d'aide. Lors du remplacement de la valeur de ce paramètre par un vecteur d'attaque de script intersite spécialement conçu, le vecteur d'attaque sera exécuté dans le contexte du navigateur de l'utilisateur final.
Score de gravité
Les tableaux ci-dessous indiquent le score de vulnérabilité CVSS 2.0 des différentes vulnérabilités.
| Score de base CVSS: 4.3 | |||||
| Accès Vector | Complexité d'accès | Authentification | Impact sur la confidentialité | Impact sur l'intégrité | Impact sur la disponibilité |
| réseau | Médium | Aucun | qui aime bien | Aucun | Aucun |
Corrections de produits
OneSpan corrigera ces vulnérabilités dans les prochaines versions
- IDENTIKEY (Virtuel) Appareil 3.9
- Serveur d'authentification IDENTIKEY 3.9
Emplacement
Les clients ayant un contrat de maintenance peuvent obtenir des rejets de produits fixes de MyMaintenance.
Les clients sans contrat de maintenance doivent contacter leur représentant commercial local.
référence
OneSpan reconnaît les efforts des membres de la communauté de la sécurité qui nous aident à protéger nos clients grâce à une divulgation coordonnée de la vulnérabilité. Consultez notre Temple de la renommée pour plus d'informations.
Avis de non-responsabilité juridique
Alors que tous les efforts raisonnables sont faits pour PROCESS ET PROVIDE INFORMATION C'est exact, tous les contenuS ET INFORMATIONS DANS CE DOCUMENT sont fournis "AS IS" ET "AS AVAILABLE", SANS AUCUNE REPRÉSENTATION OU APPROBATION ET SANS TOUTE EXPRESS OU IMPLIED GUARANTEE OF CURRENCY, COMPLETENESS OR SUITABILITY, OR ANY WARRANTY INCLUDING THE WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR USE OR PURPOSE. VOTRE UTILISATION DE CE DOCUMENT, DE TOUTE INFORMATION FOURNIE OU DE DOCUMENTS LIÉS À CE DOCUMENT EST À VOS RISQUES ET PÉRILS. VASCO SE RÉSERVE LE DROIT DE MODIFIER OU DE METTRE À JOUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT À TOUT MOMENT ET À SA DISCRÉTION, AU FUR ET À MESURE QUE DES INFORMATIONS NOUVELLES OU SUPPLÉMENTAIRES SERONT DISPONIBLES.
Copyright © 2015 VASCO Data Security, Inc., VASCO Data Security International GmbH. Tous droits réservés.
🖨 Vulnérabilité de script inter-site réfléchie dans IDENTIKEY Authentication Server aider function