Vulnerabilidade de script entre sites refletida na função de ajuda do IDENTIKEY Authentication Server

ID do comunicado vasco-sa-20150903-ias

Número de revisão 1.0

Data de lançamento 23 de março de 2015 19:42 UTC + 1

Última atualização 25 de março de 2015 19:42 UTC + 1

Resumo

Auditores de segurança da informação da empresa Security BV relataram em particular uma vulnerabilidade de script entre sites que está presente na função de ajuda das instalações do IDENTIKEY Authentication Server e do IDENTIKEY (Virtual) Appliance.

Produtos impactados

Os seguintes produtos são afetados pela vulnerabilidade:

  • IDENTIKEY (Virtual) Appliance versões 3.8 e anteriores
  • Servidor de autenticação IDENTIKEY versões 3.8 e anteriores

Descrição

A seção de administração da web do IDENTIKEY Authentication Server e do IDENTIKEY (Virtual) Appliance também contém uma função de ajuda. A função de ajuda está acessível em um subdiretório da seção de administração da web. Foi encontrada uma vulnerabilidade de script entre sites nesta função de ajuda.

Para abrir a ajuda em uma página específica, um parâmetro especial pode ser passado como parte do URL da seção de ajuda. Ao substituir o valor desse parâmetro por um vetor de ataque de script entre sites especialmente criado, o vetor de ataque será executado no contexto do navegador do usuário final.

Pontuação de gravidade

As tabelas abaixo indicam a pontuação de vulnerabilidade do CVSS 2.0 das várias vulnerabilidades.

Pontuação básica do CVSS: 4.3.
Vetor de acesso Complexidade de acesso Autenticação Impacto da confidencialidade Impacto na integridade Impacto na disponibilidade
Rede Médio Nenhum Parcial Nenhum Nenhum

 

Correções do produto

O OneSpan corrigirá essas vulnerabilidades nos próximos lançamentos

  • IDENTIKEY (Virtual) Appliance 3.9
  • Servidor de autenticação IDENTIKEY 3.9

Localização

Os clientes com um contrato de manutenção podem obter versões fixas do produto no MyMaintenance.
Clientes sem contrato de manutenção devem entrar em contato com o representante de vendas local.

Referência

O OneSpan reconhece os esforços daqueles da comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Veja nosso Hall da Fama para mais informações.

Contrato

Embora sejam feitos todos os esforços razoáveis para PROCESSAR E FORNECER INFORMAÇÕES precisas, todo o conteúdo e as informações neste documento são fornecidos "no estado em que se encontram" e "conforme disponíveis", SEM QUALQUER REPRESENTAÇÃO OU APROVAÇÃO E SEM GARANTIA EXPRESSA OU IMPLÍCITA DE MOEDA, COMPLETIDADE OU ADEQUAÇÃO, OU QUALQUER GARANTIA, INCLUINDO AS GARANTIAS DE COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM USO OU OBJETIVO ESPECÍFICO. A UTILIZAÇÃO DESTE DOCUMENTO, QUALQUER INFORMAÇÃO FORNECIDA OU MATERIAIS LIGADOS DESTE DOCUMENTO É POR SUA CONTA E RISCO. A VASCO RESERVA-SE O DIREITO DE ALTERAR OU ATUALIZAR AS INFORMAÇÕES DESTE DOCUMENTO A QUALQUER MOMENTO E A SEU DISCRETO, E QUANDO SE TIVER DISPONIBILIDADE DE INFORMAÇÕES NOVAS OU ADICIONAIS.

Direitos autorais © 2015 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos os direitos reservados.

Vulner Vulnerabilidade de script entre sites refletida na função de ajuda do IDENTIKEY Authentication Server