アドバイザリーID vasco-sa-20150903-DPAuth4CWI
改訂番号 1.0
リリース日 2015年9月3日01:19 PM UTC + 1
最後の更新 2015年9月3日01:19 PM UTC + 1
概要
Integrity社の情報セキュリティ監査人が、Citrix Web InterfaceプラグインにOneSpanのDIGIPASS認証を使用するCitrix Web Interfaceインストールに存在する可能性があるクロスサイトスクリプティングの脆弱性を非公開で報告しました。この問題は、Citrix Web Interfaceのログインページにあります。
影響を受ける製品
次の製品がこの脆弱性の影響を受けます。
Citrix Web InterfaceのDIGIPASS認証
説明文
DIGIPASS認証プラグインは、認証要求が失敗したときに情報をCitrixに渡すように構成できます。この情報は、ログインに失敗した理由の説明と、問題を修正するためにユーザーが実行できる手順をユーザーに提供するために使用される場合があります。DIGIPASS認証プラグインは、認証サーバーのエラーまたはステータスコードとメッセージテキストをCitrixに渡します。Citrixは、メッセージをそのまま表示するか、コードを解釈して、ユーザーに明確な説明または一連の指示を提供します。
OneSpanは、インストールパッケージの一部として、お客様がCitrixインストールディレクトリにコピーする必要があるサンプルのfeedback.incファイルを提供しています。feedback.incファイル内のコードは、Citrix Webインターフェイスのログインページのロード中に実行されます。サンプルコードは、入力フィルタリングを適用せずにエラーまたはステータスコードとメッセージテキストを表示するため、クロスサイトスクリプティングの脆弱性が反映されます。
顧客は、feedback.incファイルをOneSpanが提供するサンプルファイルに置き換えた場合、または製品ドキュメントで入手可能なサンプルコードを使用してfeedback.incファイルを更新した場合にのみ、脆弱になります。
重大度スコア
以下の表は、さまざまな脆弱性のCVSS 2.0脆弱性スコアを示しています。
| CVSS基本スコア:4.3 | |||||
| アクセスベクター | アクセスの複雑さ | 認証 | 機密性への影響 | 完全性への影響 | 可用性への影響 |
| 通信網 | 中 | 無し | 部分的 | 無し | 無し |
製品の修正
Citrixが設定したCitrix Web Interface製品のメンテナンス終了日が近づいているため、OneSpanはCitrix Web Interface用のDIGIPASS認証プラグインのアップデートをリリースしません。代わりに、Citrix Web Interface製品のfeedback.incファイルを変更したお客様は、以下に記載されている回避策を適用する必要があります。
この問題を修正するために、影響を受けるお客様は次のソリューションのいずれかを使用できます。
お客様は、feedback.incファイルを、Citrixから提供された元のfeedback.incファイルに置き換えることができます。この場合、お客様はDIGIPASS認証プラグイン構成センターでフラグ「返品失敗理由」をオフに設定する必要があります。
顧客は、feedback.incファイルを編集して、DIGIPASS失敗の理由を表示するコードを削除またはコメント化することができます。元のfeedback.incファイルが利用できなくなった場合、お客様はこのアプローチに従う必要があります。
これらのソリューションの詳細については、OneSpanのナレッジベースの記事KB 140148を参照してください。
ロケーション
OneSpanは、セキュリティコミュニティにおける、協調的な脆弱性の開示を通じて顧客を保護するのに役立つ人々の努力を認めています。詳細については、殿堂をご覧ください。
参照
適用できません
法的放棄声明
正確で正確な情報を処理および提供するためにあらゆる合理的な努力が払われていますが、このドキュメントのすべてのコンテンツおよび情報は、「現状のまま」および「入手可能な限り」提供され、明示または黙示を問わず、明示的または黙示的に通貨を保証するものではありません。完全性または適合性、または商品性または特定の使用または目的への適合性の保証を含むすべての保証。このドキュメント、提供された情報、またはこのドキュメントからリンクされている資料の使用は、ユーザー自身の責任で行ってください。VASCOは、このドキュメントの情報をいつでも、その裁量で、新しい情報または追加情報が利用可能になったときに変更または更新する権利を留保します。
Copyright©2015 VASCO Data Security、Inc.、VASCO Data Security International GmbH。全著作権所有。