Avis ID vasco-sa-20141029-xss
Numéro de révision 1.1
Date de sortie 29 octobre 2014 13:53 UTCMD1
Dernière mise à jour Novembre 13, 2014 01:54 UTC
Résumé
Le 23 septembre 2014, OneSpan a pris connaissance d'une redirection ouverte et de vulnérabilités de script inter-sites dans les sites Web de serveur d'authentiation OneSpan IDENTIKEY et IDENTIKEY Appliance Administration. La vulnérabilité de redirection ouverte pourrait être utilisée dans les attaques d'hameçonnage pour amener les utilisateurs à visiter des sites malveillants sans s'en rendre compte, tandis que les vulnérabilités de script inter-sites pourraient permettre à un attaquant d'injecter des scripts malveillants dans les pages Web, et de gagner des privilèges d'accès au contenu de page sensible, aux cookies de session et à d'autres informations.
Produits touchés
Les produits suivants sont affectés par les vulnérabilités :
- IDENTIKEY Authentication Server 3.3 à 3.6.
- IDENTIKEY Authentication Server Sites Web partie de IDENTIKEY Appliance 3.4.6.2 à 3.6.8.0.
- IDENTIKEY Appareil 3.5.7. 1-6 et 3.6.8.0.
Description
Les sites Web OneSpan IDENTIKEY Authentication Server sont soumis à une vulnérabilité de redirection ouverte qui pourrait permettre à un attaquant d'effectuer des attaques d'hameçonnage. Ils sont également soumis à des vulnérabilités de script inter-sites qui pourraient permettre à un attaquant d'injecter des scripts malveillants dans les pages Web affectées, et utiliser ce vecteur d'attaque pour, par exemple, voler des cookies de session.
Score de gravité
Le tableau ci-dessous indique le score de vulnérabilité CVSS 2.0 des différentes vulnérabilités.
|
Score de base CVSS: 5.0 |
|||||
| Accès Vector | Complexité d'accès |
Authentification |
Impact sur la confidentialité | Impact sur l'intégrité | Impact sur la disponibilité |
| réseau | Faible | Aucun | qui aime bien | Aucun | Aucun |
|
Score temporel CVSS: 4.8 |
||
| Exploitabilité | Niveau d'assainissement | Confiance du rapport |
| fonctionnel | Indisponible | Confirmé |
Corrections de produits
OneSpan publiera les correctifs suivants :
- IDENTIKEY Authentication Server Websites 3.6.1, le 28 novembre 2014
- Appareil IDENTIKEY 3.6.8.1, le 28 novembre 2014
Les clients qui ont déployé l'un des forfaits autonomes IDENTIKEY Authentication Server Web touchés doivent désinstaller ce paquet et installer les sites Web IDENTIKEY Authentication Server 3.6.1.
Les clients qui ont déployé les sites Web de serveur d'authentation IDENTIKEY touchés dans le cadre du serveur d'authentation IDENTIKEY doivent désinstaller cette fonctionnalité à partir de leur installation IDENTIKEY Authentication Server et installer IDENTIKEY Authentication Server Sites Web 3.6.1.
Il est recommandé aux clients utilisant les versions impactées de l'appareil IDENTIKEY de passer à l'appareil IDENTIKEY 3.6.8.1.
Emplacement
Pour IDENTIKEY Authentication Server:
Les clients ayant un contrat de maintenance peuvent obtenir des rejets de produits fixes de MyMaintenance. Les clients sans contrat de maintenance doivent contacter leur représentant commercial local.
Pour iDENTIKEY Appliance:
Les clients ayant un contrat de maintenance peuvent obtenir des versions de produits fixes de MyMaintenance ou choisir pour la mise à jour en ligne dans l'assistant de mise à jour d'IDENTIKEY Appliance. Les clients sans contrat de maintenance doivent contacter leur représentant commercial local.
référence
OneSpan tient à remercier Richard Dalton de Rits Information Security d'avoir signalé les vulnérabilités à OneSpan PSIRT.
Avis de non-responsabilité juridique
BIEN QUE TOUS LES EFFORTS RAISONNABLES SOIENT FAITS POUR TRAITER ET FOURNIR DES RENSEIGNEMENTS EXACTS, TOUT LE CONTENU ET L'INFORMATION CONTENUS DANS CE DOCUMENT SONT FOURNIS « TELS QUE C'EST » ET « COMME DISPONIBLES », SANS AUCUNE REPRÉSENTATION OU APPROBATION ET SANS AUCUNE EXPRESSION OU IMPLICITE GUARANTEE OF CURRENCY, COMPLETENESS OR SUITABILITY, OR ANY WARRANTY INCLUDING THE WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR USE OR PURPOSE. VOTRE UTILISATION DE CE DOCUMENT, DE TOUTE INFORMATION FOURNIE OU DE DOCUMENTS LIÉS À CE DOCUMENT EST À VOS RISQUES ET PÉRILS. VASCO SE RÉSERVE LE DROIT DE MODIFIER OU DE METTRE À JOUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT À TOUT MOMENT ET À SA DISCRÉTION, AU FUR ET À MESURE QUE DES INFORMATIONS NOUVELLES OU SUPPLÉMENTAIRES SERONT DISPONIBLES.
Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Tous droits réservés.
🖨 Open rediriger et inter-site scripting vulnérabilités dans OneSpan IDENTIKEY produits