OneSpan IDENTIKEY製品のオープンリダイレクトおよびクロスサイトスクリプティングの脆弱性

アドバイザリーID vasco-sa-20141029-xss

改訂番号 1.1

リリース日 2014年10月29日01:53 PM UTC + 1

最後の更新 2014年11月13日01:54 PM UTC + 1

概要

2014年9月23日、OneSpanは、OneSpan IDENTIKEY認証サーバーWebサイトおよびIDENTIKEYアプライアンス管理Webサイトにおけるオープンリダイレクトおよびクロスサイトスクリプティングの脆弱性を認識しました。オープンリダイレクトの脆弱性はフィッシング攻撃で使用され、ユーザーに悪意のあるサイトに気付かれずにアクセスされる可能性があります。一方、クロスサイトスクリプティングの脆弱性により、攻撃者は悪意のあるスクリプトをWebページに挿入し、機密ページコンテンツへの高いアクセス権限を取得できます、セッションCookie、およびその他の情報。

影響を受ける製品

次の製品が脆弱性の影響を受けます。

  • IDENTIKEY認証サーバー3.3から3.6。
  • IDENTIKEYアプライアンス3.4.6.2から3.6.8.0のIDENTIKEY認証サーバーウェブサイトの一部。
  • IDENTIKEY Appliance 3.5.7。{1-6}および3.6.8.0。

説明文

OneSpan IDENTIKEY認証サーバーのWebサイトは、攻撃者がフィッシング攻撃を実行できるオープンリダイレクトの脆弱性の影響を受けます。また、攻撃者が影響を受けるWebページに悪意のあるスクリプトを挿入し、この攻撃ベクトルを使用してセッションCookieを盗むなど、クロスサイトスクリプティングの脆弱性の影響を受けます。

重大度スコア

以下の表は、さまざまな脆弱性のCVSS 2.0脆弱性スコアを示しています。

CVSS基本スコア: 5.0
アクセスベクター アクセスの複雑さ

認証

 機密性への影響 完全性への影響 可用性への影響
通信網 無し 部分的 無し 無し

 

CVSS時間的スコア: 4.8
悪用可能性 修復レベル 信頼を報告する
機能的 利用できません 確認済み

 

製品の修正

OneSpanは次のパッチをリリースします。

  • IDENTIKEY認証サーバーのウェブサイト3.6.1、2014年11月28日
  • IDENTIKEYアプライアンス3.6.8.1、2014年11月28日

影響を受けるIDENTIKEY認証サーバーのWebサイトのスタンドアロンパッケージのいずれかを展開したお客様は、このパッケージをアンインストールして、IDENTIKEY認証サーバーのWebサイト3.6.1をインストールする必要があります。

影響を受けるIDENTIKEY認証サーバーのWebサイトをIDENTIKEY認証サーバーの一部として展開したお客様は、この機能をIDENTIKEY認証サーバーのインストールからアンインストールし、IDENTIKEY認証サーバーのWebサイト3.6.1をインストールする必要があります。

影響を受けるバージョンのIDENTIKEYアプライアンスを使用しているお客様は、IDENTIKEYアプライアンス3.6.8.1にアップグレードすることをお勧めします。

ロケーション

IDENTIKEY認証サーバーの場合:

保守契約を結んでいるお客様は、MyMaintenanceから固定製品リリースを入手できます。保守契約のないお客様は、最寄りの営業担当者にお問い合わせください。

IDENTIKEYアプライアンスの場合:

保守契約を結んでいるお客様は、MyMaintenanceから修正済みの製品リリースを取得するか、IDENTIKEY Applianceの更新ウィザードでオンライン更新を選択できます。保守契約のないお客様は、最寄りの営業担当者にお問い合わせください。

参照

OneSpanは、OneSpan PSIRTに脆弱性を報告してくれたRits Information SecurityのRichard Daltonに感謝します。

法的放棄声明

本書に記載されているすべての内容と情報は、表現または保証がなく、明示的または黙示的な保証なしに、「現状のまま」かつ「入手可能な」状態で提供されます。完全性または適合性、または商品性または特定の使用または目的への適合性の保証を含む、いかなる保証。このドキュメント、提供された情報、またはこのドキュメントからリンクされている資料の使用は、ユーザー自身の責任で行ってください。VASCOは、このドキュメントの情報をいつでも、その裁量で、新しい情報または追加情報が利用可能になったときに変更または更新する権利を留保します。

 

Copyright©2014 VASCO Data Security、Inc.、VASCO Data Security International GmbH。全著作権所有。

One OneSpan IDENTIKEY製品のオープンリダイレクトおよびクロスサイトスクリプティングの脆弱性