Vulnerabilidade de script entre sites refletida na autenticação DIGIPASS para Citrix Web Interface

ID do comunicado vasco-sa-20150903-DPAuth4CWI

Número de revisão 1.0

Data de lançamento 3 de setembro de 2015 13:19 UTC + 1

Última atualização 3 de setembro de 2015 13:19 UTC + 1

Resumo

Os auditores de segurança da informação da empresa Integrity relataram em particular uma vulnerabilidade de script entre sites que pode estar presente nas instalações da Citrix Web Interface que usam a autenticação DIGIPASS da OneSpan para o plugin Citrix Web Interface da OneSpan. O problema está presente na página de login da Citrix Web Interface.

Produtos impactados

Os seguintes produtos são afetados pela vulnerabilidade:

Autenticação DIGIPASS para Citrix Web Interface

Descrição

O plug-in de autenticação DIGIPASS pode ser configurado para passar informações ao Citrix quando houver falha em uma solicitação de autenticação. Essas informações podem ser usadas para fornecer aos usuários uma explicação do motivo pelo qual o logon falhou e as etapas que eles podem executar para corrigir o problema. O plug-in de autenticação DIGIPASS transmitirá o código de erro ou status e o texto da mensagem para o servidor de autenticação para a Citrix, que pode exibir a mensagem literalmente ou interpretar o código para fornecer ao usuário uma explicação clara ou um conjunto de instruções.

Como parte do pacote de instalação, o OneSpan fornece um arquivo feedback.inc de amostra que os clientes devem copiar no diretório de instalação do Citrix. O código no arquivo feedback.inc é executado durante o carregamento da página de login da interface da Web Citrix. O código de amostra exibe o código de erro ou status e o texto da mensagem sem aplicar a filtragem de entrada, o que resulta em uma vulnerabilidade de script entre sites refletida.

Os clientes estarão vulneráveis apenas se eles substituírem o arquivo feedback.inc pelo arquivo de amostra fornecido pelo OneSpan ou se eles atualizaram o arquivo feedback.inc usando o código de amostra disponível na documentação do produto.

Pontuação de gravidade

As tabelas abaixo indicam a pontuação de vulnerabilidade do CVSS 2.0 das várias vulnerabilidades.

Pontuação Base CVSS: 4.3
Vetor de acesso Complexidade de acesso Autenticação Impacto da confidencialidade Impacto na integridade Impacto na disponibilidade
Rede Médio Nenhum Parcial Nenhum Nenhum

 

Correções do produto

Desde a próxima data de final de manutenção definida pela Citrix para o seu produto Citrix Web Interface, o OneSpan não lançará uma atualização do plug-in de autenticação DIGIPASS para Citrix Web Interface. Em vez disso, os clientes que modificaram o arquivo feedback.inc do produto Citrix Web Interface devem aplicar a solução documentada abaixo.

Para corrigir esse problema, um cliente impactado pode usar uma das seguintes soluções:

O cliente pode substituir o arquivo feedback.inc pelo arquivo feedback.inc original fornecido pela Citrix. Nesse caso, o cliente deve definir a opção 'Motivo da falha de retorno' desmarcada no Centro de configuração do plug-in de autenticação DIGIPASS.

O cliente pode editar o arquivo feedback.inc e remover ou comentar o código que exibe o motivo da falha do DIGIPASS. Os clientes devem seguir essa abordagem se o arquivo feedback.inc original não estiver mais disponível.

Mais detalhes sobre essas soluções estão disponíveis no artigo KB 140148 da Base de Conhecimento do OneSpan.

Localização

O OneSpan reconhece os esforços daqueles da comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Veja nosso Hall da Fama para mais informações.

Referência

não aplicável

Contrato

Embora sejam feitos todos os esforços razoáveis para PROCESSAR E FORNECER INFORMAÇÕES precisas, todo o conteúdo e as informações neste documento são fornecidos "no estado em que se encontram" e "conforme disponíveis", SEM QUALQUER REPRESENTAÇÃO OU APROVAÇÃO E SEM GARANTIA EXPRESSA OU IMPLÍCITA DE MOEDA, COMPLETIDADE OU ADEQUAÇÃO, OU QUALQUER GARANTIA, INCLUINDO AS GARANTIAS DE COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM USO OU OBJETIVO ESPECÍFICO. A UTILIZAÇÃO DESTE DOCUMENTO, QUALQUER INFORMAÇÃO FORNECIDA OU MATERIAIS LIGADOS DESTE DOCUMENTO É POR SUA CONTA E RISCO. A VASCO RESERVA-SE O DIREITO DE ALTERAR OU ATUALIZAR AS INFORMAÇÕES DESTE DOCUMENTO A QUALQUER MOMENTO E A SEU DISCRETO, E QUANDO SE TIVER DISPONIBILIDADE DE INFORMAÇÕES NOVAS OU ADICIONAIS.

Direitos autorais © 2015 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos os direitos reservados.

Vulner Vulnerabilidade de script entre sites refletida na autenticação DIGIPASS para Citrix Web Interface