Vulnerabilidade OpenSSL Heartbleed nos produtos OneSpan

ID do comunicado vasco-sa-20140417-heartbleed

Número de revisão 1.3

Data de lançamento 17 de abril de 2014 02:45 UTC + 1

Última atualização 12 de maio de 2014 02:45 UTC + 1

Resumo

Vários produtos OneSpan incorporam uma versão da biblioteca OpenSSL afetada por uma vulnerabilidade que pode permitir que um adversário remoto não autenticado recupere partes de 64 kilobytes da memória do produto cliente ou servidor do OneSpan. Essa vulnerabilidade é conhecida como bug do Heartbleed. 

A vulnerabilidade ocorre devido a uma verificação de limites ausentes no processamento da extensão de pulsação do TLS (Transport Layer Security), conforme especificado na RFC 6520. Um adversário pode explorar essa vulnerabilidade implementando um cliente TLS mal-intencionado, se estiver tentando explorar a vulnerabilidade em um servidor afetado ou um servidor TLS mal-intencionado, se estiver tentando explorar a vulnerabilidade em um cliente afetado. Uma exploração pode enviar um pacote de pulsação especialmente criado para o cliente ou servidor conectado. Uma exploração pode permitir que o adversário divulgue 64 kilobytes de memória de um cliente ou servidor conectado para cada pacote de pulsação enviado. As partes divulgadas da memória podem incluir informações confidenciais, como chaves privadas e dados específicos do aplicativo. 

Esta vulnerabilidade é mencionada usando o ID comum de vulnerabilidades e exposições CVE-2014-0160.

Produtos impactados

Os seguintes produtos OneSpan são afetados pelo bug do Heartbleed:

  • Personal aXsGUARD 2.0.0
  • Servidor de autenticação IDENTIKEY 3.5 e Patch 3.5.1
  • Equipamento IDENTIKEY 3.5.7.0, 3.5.7.1 e 3.5.7.2
  • Dispositivo virtual IDENTIKEY 3.5.7.0, 3.5.7.1 e 3.5.7.2
  • Servidor de Federação IDENTIKEY 1.3 e 1.4
  • MYDIGIPASS.COM
  • Autenticação DIGIPASS para Windows Logon 1.2.0
  • Ferramenta de Sincronização LDAP 1.3.0
  • Autenticação DIGIPASS para IIS 3.5.0, Autenticação DIGIPASS para Citrix Web Interface 3.6.0, Autenticação DIGIPASS para Outlook Web Access 3.5.0, Autenticação DIGIPASS para área de trabalho remota Web Access 3.5.0, Autenticação DIGIPASS para SBR 3.5.

Os dispositivos aXsGUARD GateKeeper e outros produtos OneSpan não são afetados por esse bug.

Descrição

O impacto dessa vulnerabilidade nos produtos OneSpan varia de acordo com o produto afetado. A exploração bem-sucedida da vulnerabilidade pode fazer com que partes da memória de um cliente ou servidor sejam divulgadas. As partes divulgadas da memória podem incluir informações confidenciais, como chaves privadas e dados específicos do aplicativo.

Pontuação de gravidade

A tabela abaixo indica a pontuação de vulnerabilidade do CVSS 2.0.

Pontuação Base CVSS: 5
Vetor de acesso Complexidade de acesso Autenticação Impacto da confidencialidade Impacto na integridade Impacto na disponibilidade
Rede Baixo Nenhum Parcial Nenhum  Nenhum

 

Correções do produto

O OneSpan atualizou seu serviço de autenticação MYDIGIPASS.COM em 9 de abril de 2014. 
A OneSpan lançou patches para os seguintes produtos:

  • Servidor de Federação IDENTIKEY 1.4.1, lançado em 10 de abril de 2014
  • Servidor de Federação IDENTIKEY 1.3.1, lançado em 11 de abril de 2014
  • Servidor de autenticação IDENTIKEY 3.5.2, lançado em 18 de abril de 2014
  • IDENTIKEY Appliance 3.5.7.3, lançado em 18 de abril de 2014
  • IDENTIKEY Virtual Appliance 3.5.7.3, lançado em 18 de abril de 2014
  • Autenticação DIGIPASS para Windows Logon V1.2.1, lançada em 30 de abril de 2014
  • Ferramenta de sincronização LDAP V1.3.2, lançada em 9 de maio de 2014.
  • Autenticação DIGIPASS para Citrix Web Interface V3.6.1, lançada em 9 de maio de 2014.
  • Autenticação DIGIPASS para OWA Basic 3.5.1, lançada em 9 de maio de 2014.
  • Autenticação DIGIPASS para OWA Forms 3.5.1, lançada em 9 de maio de 2014.
  • Autenticação DIGIPASS para IIS Basic 3.5.1, lançada em 9 de maio de 2014.
  • Autenticação DIGIPASS para Remote Desktop Web Access 3.6.1, lançada em 9 de maio de 2014.
  • Autenticação DIGIPASS para RADIUS Server com cinto de aço 3.3.1, lançada em 9 de maio de 2014.

 

O OneSpan lançará os seguintes patches:

  • Personal aXsGUARD 2.1.0

 

Os clientes com produtos afetados devem seguir três etapas para reduzir a vulnerabilidade:

  • Etapa 1: atualize todos os produtos afetados usando as versões fixas do produto fornecidas pelo OneSpan
  • Passo 2: revogar chaves privadas SSL / TLS e emitir novos pares de chaves e certificados. Devido ao erro, não é possível excluir que as chaves privadas SSL / TLS estejam comprometidas. Portanto, os clientes devem revogar seus pares de chaves e certificados existentes e emitir novos.
  • Etapa 3: atualizar dados confidenciais trocados usando SSL / TLS.  Os clientes devem avaliar se os dados confidenciais (por exemplo, senhas de usuário, detalhes do cartão de crédito) trocados por SSL / TLS podem ter sido comprometidos. Essa avaliação é específica para o cliente. Se dados confidenciais forem afetados, os clientes também deverão considerar a atualização desses dados.

Localização

Os clientes com um contrato de manutenção podem obter versões fixas do produto no MyMaintenance.

Referência

Referências a fontes públicas relacionadas à vulnerabilidade

http://heartbleed.com

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

Salas de emergência de autenticação de dois fatores Heartbleed

Resolvendo o bug HeartSSD OpenSSL em instituições financeiras

Resolvendo o bug do Heartbleed OpenSSL em MYDIGIPASS.COM

Aumentando a resiliência contra bugs semelhantes a Heartbleed usando autenticação de dois fatores

Contrato

Embora todo esforço razoável seja feito para processar e fornecer informações precisas, todo o conteúdo e as informações contidas neste documento são fornecidos "no estado em que se encontram" e "conforme disponível", sem qualquer representação ou endosso e sem garantia expressa ou implícita, COMPETÊNCIA OU ADEQUAÇÃO, OU QUALQUER GARANTIA, INCLUINDO AS GARANTIAS DE COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM USO OU FINS ESPECÍFICOS. A UTILIZAÇÃO DESTE DOCUMENTO, QUALQUER INFORMAÇÃO FORNECIDA OU MATERIAIS LIGADOS DESTE DOCUMENTO É POR SUA CONTA E RISCO. A VASCO RESERVA-SE O DIREITO DE ALTERAR OU ATUALIZAR AS INFORMAÇÕES DESTE DOCUMENTO A QUALQUER MOMENTO E A SEU DISCRETO, E QUANDO SE TIVER DISPONIBILIDADE DE INFORMAÇÕES NOVAS OU ADICIONAIS. 

 

Direitos autorais © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos os direitos reservados.

Vul Vulnerabilidade OpenSSL Heartbleed nos produtos OneSpan