Vulnérabilité OpenSSL Heartbleed dans les produits OneSpan

Avis ID vasco-sa-20140417-heartbleed

Numéro de révision 1.3

Date de sortie 17 avril 2014 14:45 UTC

Dernière mise à jour 12 mai 2014 02:45 UTC-1

Résumé

Plusieurs produits OneSpan intègrent une version de la bibliothèque OpenSSL affectée par une vulnérabilité qui pourrait permettre à un adversaire distant non authentifié de récupérer des portions de 64 kilooctets de la mémoire du client OneSpan ou du produit serveur. Cette vulnérabilité est appelée le bogue Heartbleed. 

La vulnérabilité est due à une vérification des limites manquantes dans la gestion de l'extension du rythme cardiaque de la sécurité des couches de transport (TLS), comme indiqué dans le RFC 6520. Un adversaire peut exploiter cette vulnérabilité en implémentant un client TLS malveillant, si vous essayez d'exploiter la vulnérabilité sur un serveur affecté, ou un serveur TLS malveillant, si vous essayez d'exploiter la vulnérabilité sur un client affecté. Un exploit pourrait envoyer un paquet de battements de cœur spécialement conçu au client ou au serveur connecté. Un exploit pourrait permettre à l'adversaire de divulguer 64 kilooctets de mémoire d'un client ou d'un serveur connecté pour chaque paquet de battements de cœur envoyé. Les parties de mémoire divulguées pourraient inclure des informations sensibles telles que des clés privées et des données spécifiques à l'application. 

Cette vulnérabilité est mentionnée à l'aide de l'ID vulnérabilités et expositions communes CVE-2014-0160.

Produits touchés

Les produits OneSpan suivants sont affectés par le bogue Heartbleed :

  • AXsGUARD personnel 2.0.0
  • IDENTIKEY Authentication serveur 3.5 et Patch 3.5.1
  • IDENTIKEY Appliance 3.5.7.0, 3.5.7.1 et 3.5.7.2
  • IDENTIKEY Virtual Appliance 3.5.7.0, 3.5.7.1 et 3.5.7.2
  • IDENTIKEY Fédération Server 1.3 et 1.4
  • MYDIGIPASS.COM
  • Authentification DIGIPASS pour Windows Logon 1.2.0
  • Outil de synchronisation LDAP 1.3.0
  • DIGIPASS Authentication for IIS 3.5.0, DIGIPASS Authentication for Citrix Web Interface 3.6.0, DIGIPASS Authentication for Outlook Web Access 3.5.0, DIGIPASS Authentication for Remote desktop Web Access 3.5.0, DIGIPASS Authentication for SBR 3.5.

Les appareils aXsGUARD GateKeeper et autres produits OneSpan ne sont pas affectés par ce bug.

Description

L'impact de cette vulnérabilité sur les produits OneSpan varie selon le produit concerné. L'exploitation réussie de la vulnérabilité peut entraîner la divulgation de parties de mémoire d'un client ou d'un serveur. Les parties de mémoire divulguées pourraient inclure des informations sensibles telles que des clés privées et des données spécifiques à l'application.

Score de gravité

Le tableau ci-dessous indique le score de vulnérabilité CVSS 2.0.

Score de base CVSS: 5
Accès Vector Complexité d'accès Authentification Impact sur la confidentialité Impact sur l'intégrité Impact sur la disponibilité
réseau Faible Aucun qui aime bien Aucun  Aucun

 

Corrections de produits

OneSpan a mis à jour son service d'authentification MYDIGIPASS.COM le 9 avril 2014. 
OneSpan a publié des correctifs pour les produits suivants:

  • IDENTIKEY Federation Server 1.4.1, publié le 10 avril 2014
  • IDENTIKEY Federation Server 1.3.1, publié le 11 avril 2014
  • IDENTIKEY Authentication server 3.5.2, sorti le 18 avril 2014
  • IDENTIKEY Appliance 3.5.7.3, publié le 18 avril 2014
  • IDENTIKEY Virtual Appliance 3.5.7.3, publié le 18 avril 2014
  • DIGIPASS Authentication for Windows Logon V1.2.1, publié le 30 avril 2014
  • LDAP Synchronization Tool V1.3.2, sorti le 9 mai 2014.
  • DIGIPASS Authentication for Citrix Web Interface V3.6.1, sorti le 9 mai 2014.
  • DIGIPASS Authentication for OWA Basic 3.5.1, sorti le 9 mai 2014.
  • DIGIPASS Authentication for OWA Forms 3.5.1, publié le 9 mai 2014.
  • DIGIPASS Authentication for IIS Basic 3.5.1, sorti le 9 mai 2014.
  • DIGIPASS Authentication for Remote Desktop Web Access 3.6.1, sorti le 9 mai 2014.
  • DIGIPASS Authentication for Steel-Belted RADIUS Server 3.3.1, sorti le 9 mai 2014.

 

OneSpan publiera les correctifs suivants :

  • Personnel aXsGUARD 2.1.0

 

Les clients dont les produits sont concernés doivent prendre les trois mesures suivantes pour atténuer la vulnérabilité :

  • Étape 1 : mettre à niveau tous les produits concernés à l'aide des versions de produits fixes fournies par OneSpan
  • Étape 2 : Révoquer les clés privées SSL/TLS et émettre de nouvelles paires de clés et certificats. En raison du bogue, il ne peut pas être exclu que les clés privées SSL/TLS soient compromises. Par conséquent, les clients doivent révoquer leurs paires de clés et certificats existants et en émettre de nouveaux.
  • Étape 3 : mettre à jour les données sensibles échangées à l'aide de SSL/TLS. Les clients doivent évaluer si les données sensibles (par exemple les mots de passe des utilisateurs, les détails de carte de crédit) échangées sur SSL/TLS ont pu être compromises. Cette évaluation est spécifique au client. Si des données sensibles sont affectées, les clients devraient envisager de mettre à jour ces données.

Emplacement

Les clients ayant un contrat de maintenance peuvent obtenir des rejets de produits fixes de MyMaintenance.

référence

Références à des sources publiques liées à la vulnérabilité

http://heartbleed.com

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

Salle d'urgence d'authentification à deux facteurs Heartbleed

S'attaquer au bogue Heartbleed OpenSSL dans les institutions financières

S'attaquer au bogue Heartbleed OpenSSL sur MYDIGIPASS.COM

Accroître la résilience contre les bogues semblables à Heartbleed à l'aide de l'authentification à deux facteurs

Avis de non-responsabilité juridique

BIEN QUE TOUS LES EFFORTS RAISONNABLES SOIENT FAITS POUR TRAITER ET FOURNIR DES RENSEIGNEMENTS EXACTS, TOUT LE CONTENU ET L'INFORMATION CONTENUS DANS CE DOCUMENT SONT FOURNIS « TELS QUE C'EST » ET « COMME DISPONIBLES », SANS AUCUNE REPRÉSENTATION OU APPROBATION ET SANS AUCUNE EXPRESSION OU IMPLICITE GUARANTEE OF CURRENCY, COMPLETENESS OR SUITABILITY, OR ANY WARRANTY INCLUDING THE WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR USE OR PURPOSE. VOTRE UTILISATION DE CE DOCUMENT, DE TOUTE INFORMATION FOURNIE OU DE DOCUMENTS LIÉS À CE DOCUMENT EST À VOS RISQUES ET PÉRILS. VASCO SE RÉSERVE LE DROIT DE MODIFIER OU DE METTRE À JOUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT À TOUT MOMENT ET À SA DISCRÉTION, AU FUR ET À MESURE QUE DES INFORMATIONS NOUVELLES OU SUPPLÉMENTAIRES SERONT DISPONIBLES. 

 

Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Tous droits réservés.

🖨 OpenSSL Heartbleed Vulnerability dans OneSpan produits