ID do comunicado vasco-sa-20140605-openssl
Número de revisão 1.0
Data de lançamento 13 de abril de 2015 16:30 UTC + 1
Última atualização 13 de abril de 2015 16:30 UTC + 1
Resumo
Em 5 de junho de 2014, o Projeto OpenSSL publicou um aviso de segurança descrevendo sete vulnerabilidades na biblioteca OpenSSL. As vulnerabilidades são referidas da seguinte forma:
- Vulnerabilidade SSL / TLS MITM
- Falha na recursão do DTLS
- Vulnerabilidade de fragmento inválido do DTLS
- Desreferência de ponteiro SSL_MODE_RELEASE_BUFFERS NULL
- Injeção de sessão SSL_MODE_RELEASE_BUFFERS ou negação de serviço
- Negação de serviço anônima do ECDH
- Ataque de recuperação de canal lateral ECDSA NONCE
Vários produtos OneSpan incorporam uma versão da biblioteca OpenSSL afetada por uma ou mais vulnerabilidades que podem permitir que um invasor remoto não autenticado realize um ataque man-in-the-middle, injete dados da sessão SSL / TLS ou interrompa a disponibilidade de um serviço.
Produtos impactados
Os seguintes produtos são afetados pela vulnerabilidade SSL / TLS MITM:
Servidores SSL / TLS
- Servidor IDENTIKEY 3.3, 3.4
- Servidor de autenticação IDENTIKEY 3.4 SR1, 3.5
- Servidor de Federação IDENTIKEY 1.3, 1.4, 1.5
- Dispositivo IDENTIKEY (Virtual) 3.4.5. (0,1)
- IDENTIKEY (Virtual) Appliance 3.4.6. (0,1,2,3)
- IDENTIKEY (Virtual) Appliance 3.5.7. (1,2,3,4)
- aXsGUARD Gatekeeper 7.0.0 PL19, 7.1.0 PL6, 7.6.5, 7.7.0, 7.7.1, 7.7.2
Clientes SSL / TLS
- Ferramenta de Sincronização LDAP 1.1, 1.2
- Ferramenta de migração de dados 2.0, 2.1, 2.2, 2.3, 2.4
- Autenticação DIGIPASS para Windows Logon 1.1, 1.2
- Autenticação DIGIPASS para Citrix Web Interface 3.3, 3.4, 3.5, 3.6
- Autenticação DIGIPASS para IIS - Básico 3.3, 3.4, 3.5
- Autenticação DIGIPASS para Outlook Web Access - Básico 3.3, 3.4, 3.5
- Autenticação DIGIPASS para Outlook Web Access - Formulários 3.3, 3.4, 3.5
- Autenticação DIGIPASS para acesso à Web na área de trabalho remota 3.4, 3.5, 3.6
- Autenticação DIGIPASS para servidor RADIUS com cinto de aço 3.2, 3.3
- Pessoal aXsGUARD 1.1.3, 2.1.0
Os seguintes produtos são afetados pela vulnerabilidade de desreferência de ponteiro SSL_MODE_RELEASE_BUFFERS NULL:
- Servidor de Federação IDENTIKEY 1.3, 1.4, 1.5
- aXsGUARD Gatekeeper 7.7.0, 7.7.1, 7.7.2
Os seguintes produtos são afetados pela vulnerabilidade de injeção ou negação de serviço da sessão SSL_MODE_RELEASE_BUFFERS:
- Servidor de Federação IDENTIKEY 1.3, 1.4, 1.5
- aXsGUARD Gatekeeper 7.7.0, 7.7.1, 7.7.2
Descrição
Em 5 de junho de 2014, o Projeto OpenSSL publicou um aviso de segurança descrevendo sete vulnerabilidades na biblioteca OpenSSL.
O impacto dessa vulnerabilidade nos produtos OneSpan varia de acordo com o produto afetado.
SSL / TLS Man-in-the-Middle
Um invasor remoto não autenticado com a capacidade de interceptar o tráfego entre um cliente SSL / TLS afetado e o servidor SSL / TLS pode executar um ataque man-in-the-middle. Esta vulnerabilidade foi atribuída CVE-2014-0224.
Desreferência de ponteiro SSL_MODE_RELEASE_BUFFERS NULL
Um invasor remoto não autenticado pode enviar uma solicitação mal-intencionada projetada para disparar uma desreferência de ponteiro NULL. Isso pode resultar em uma condição parcial ou completa de negação de serviço no dispositivo afetado. Esta vulnerabilidade foi atribuída CVE-2014-0198.
Injeção de sessão SSL_MODE_RELEASE_BUFFERS ou negação de serviço
Um invasor remoto não autenticado pode enviar uma solicitação mal-intencionada projetada para injetar conteúdo em uma sessão SSL / TLS paralela ou criar uma condição de negação de serviço. Esta vulnerabilidade foi atribuída CVE-2010-5298.
Para detalhes adicionais, os clientes são consultados no aviso de segurança do Projeto OpenSSL: http://www.openssl.org/news/secadv_20140605.txt
Pontuação de gravidade
As tabelas abaixo indicam a pontuação de vulnerabilidade do CVSS 2.0 das várias vulnerabilidades.
SSl / TLS Man-in-the-Middle
Pontuação Temporal CVSS: 3.6.
| Pontuação básica do CVSS: 4.3. | |||||
| Acessar Vecto r | Complexidade de acesso |
Autenticação |
Impacto da confidencialidade | Impacto na integridade | Impacto na disponibilidade |
| Rede | Médio | Nenhum | Nenhum | Parcial | Nenhum |
| Exploração | Nível de correção | Relatório de Confiança | |||
| Funcional | Correção oficial | Confirmado | |||
Desreferência de ponteiro SSL_MODE_RELEASE_BUFFERS NULL
| Pontuação básica do CVSS: 7.1 | |||||
|
Vetor de acesso |
Complexidade de acesso |
Autenticação |
Impacto da confidencialidade | Impacto na integridade | Impacto na disponibilidade |
| Rede | Médio | Nenhum | Nenhum | Nenhum | Completo |
| Pontuação Temporal CVSS: 7.8 | |||||
| Exploração | Nível de correção | Relatório de Confiança | |||
| Funcional | Correção oficial | Confirmado | |||
Injeção de sessão SSL_MODE_RELEASE_BUFFERS ou negação de serviço
|
Pontuação básica do CVSS: 7.8 |
|||||
| Vetor de acesso | Complexidade de acesso | Autenticação | Impacto da confidencialidade | Impacto na integridade | Impacto na disponibilidade |
| Rede | Médio | Nenhum | Nenhum | Parcial | Completo |
| Pontuação Temporal CVSS: 6.4 | |||||
| Exploração | Nível de correção | Relatório de Confiança | |||
| Funcional | Correção oficial | Confirmado | |||
Correções do produto
A OneSpan lançou patches para os seguintes produtos:
- Servidor de Federação IDENTIKEY 1.3.2, 1.4.2, 1.5.1 em 13 de junho de 2014
O OneSpan lançará os seguintes patches:
- Servidor de autenticação IDENTIKEY 3.5.4 em 23 de junho de 2014
- IDENTIKEY (Virtual) Appliance 3.5.7.5 em 23 de junho de 2014
- aXsGUARD Gatekeeper 7.7.3, cuja data de lançamento será anunciada mais tarde
Recomenda-se que os clientes que usam o IDENTIKEY Server 3.3 ou 3.4 e os clientes que usam o IDENTIKEY Authentication Server 3.4 SR1 atualizem para o IDENTIKEY Authentication Server 3.5 e apliquem a correção apropriada para esta versão.
Recomenda-se que os clientes que usam o aXsGUARD Gatekeeper atualizem para o aXsGUARD Gatekeeper 7.7.3.
Recomenda-se que os clientes que usam um produto do lado do cliente afetado pela vulnerabilidade de SSL / TLS Man-in-the-Middle atualizem o produto do lado do servidor correspondente. Essa abordagem evitará qualquer impacto, pois é necessário um produto vulnerável do lado do cliente e do servidor para explorar a vulnerabilidade.
Localização
Os clientes com um contrato de manutenção podem obter versões fixas do produto no MyMaintenance.
Referência
http://www.openssl.org/news/secadv_20140605.txt
Contrato
Embora todo esforço razoável seja feito para processar e fornecer informações precisas, todo o conteúdo e as informações contidas neste documento são fornecidos "no estado em que se encontram" e "conforme disponível", sem qualquer representação ou endosso e sem garantia expressa ou implícita, COMPETÊNCIA OU ADEQUAÇÃO, OU QUALQUER GARANTIA, INCLUINDO AS GARANTIAS DE COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM USO OU FINS ESPECÍFICOS. A UTILIZAÇÃO DESTE DOCUMENTO, QUALQUER INFORMAÇÃO FORNECIDA OU MATERIAIS LIGADOS DESTE DOCUMENTO É POR SUA CONTA E RISCO. A VASCO RESERVA-SE O DIREITO DE ALTERAR OU ATUALIZAR AS INFORMAÇÕES DESTE DOCUMENTO A QUALQUER MOMENTO E A SEU DISCRETO, E QUANDO SE TIVER DISPONIBILIDADE DE INFORMAÇÕES NOVAS OU ADICIONAIS.
Direitos autorais © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos os direitos reservados.
🖨 Vários problemas do OpenSSL que afetam os produtos OneSpan