IDENTIKEY認証サーバーのヘルプ機能に反映されたクロスサイトスクリプティングの脆弱性

アドバイザリーID vasco-sa-20150903-ias

改訂番号 1.0

リリース日 2015年3月23日07:42 PM UTC + 1

最後の更新 2015年3月25日07:42 PM UTC + 1

概要

Security BV社の情報セキュリティ監査人 IDENTIKEY認証サーバーとIDENTIKEY(仮想)アプライアンスのインストールのヘルプ機能に存在するクロスサイトスクリプティングの脆弱性を非公開で報告しました。

影響を受ける製品

次の製品がこの脆弱性の影響を受けます。

  • IDENTIKEY(仮想)アプライアンスバージョン3.8およびそれ以前
  • IDENTIKEY Authentication Serverバージョン3.8およびそれ以前

説明文

IDENTIKEY認証サーバーとIDENTIKEY(仮想)アプライアンスのWeb管理セクションにもヘルプ機能が含まれています。ヘルプ機能には、Web管理セクションのサブディレクトリからアクセスできます。このヘルプ機能にクロスサイトスクリプティングの脆弱性が発見されました。

特定のページでヘルプを開くために、ヘルプセクションURLの一部として特別なパラメーターを渡すことができます。このパラメーターの値を特別に細工されたクロスサイトスクリプティング攻撃ベクターに置き換えると、攻撃ベクターはエンドユーザーのブラウザーのコンテキストで実行されます。

重大度スコア

以下の表は、さまざまな脆弱性のCVSS 2.0脆弱性スコアを示しています。

CVSS基本スコア: 4.3
アクセスベクター アクセスの複雑さ 認証 機密性への影響 完全性への影響 可用性への影響
通信網 無し 部分的 無し 無し

 

製品の修正

OneSpanは、次の今後のリリースでこれらの脆弱性を修正します

  • IDENTIKEY(仮想)アプライアンス3.9
  • IDENTIKEY認証サーバー3.9

ロケーション

保守契約を結んでいるお客様は、MyMaintenanceから固定製品リリースを入手できます。
保守契約のないお客様は、最寄りの営業担当者にお問い合わせください。

参照

OneSpanは、セキュリティコミュニティにおける、協調的な脆弱性の開示を通じて顧客を保護するのに役立つ人々の努力を認めています。詳細については、殿堂をご覧ください。

法的放棄声明

正確で正確な情報を処理および提供するためにあらゆる合理的な努力が払われていますが、このドキュメントのすべてのコンテンツおよび情報は、「現状のまま」および「入手可能な限り」提供され、明示または黙示を問わず、明示的または黙示的に通貨を保証するものではありません。完全性または適合性、または商品性または特定の使用または目的への適合性の保証を含むすべての保証。このドキュメント、提供された情報、またはこのドキュメントからリンクされている資料の使用は、ユーザー自身の責任で行ってください。VASCOは、このドキュメントの情報をいつでも、その裁量で、新しい情報または追加情報が利用可能になったときに変更または更新する権利を留保します。

Copyright©2015 VASCO Data Security、Inc.、VASCO Data Security International GmbH。全著作権所有。

ID IDENTIKEY認証サーバーのヘルプ機能に反映されたクロスサイトスクリプティングの脆弱性