Redirecionamento aberto e vulnerabilidades de script entre sites nos produtos OneSpan IDENTIKEY

ID do comunicado vasco-sa-20141029-xss

Número de revisão 1.1

Data de lançamento 29 de outubro de 2014 13:53 UTC + 1

Última atualização 13 de novembro de 2014 13:54 UTC + 1

Resumo

Em 23 de setembro de 2014, o OneSpan tomou conhecimento de vulnerabilidades de redirecionamento aberto e de script entre sites nos sites do OneSpan IDENTIKEY Authentication Server e no site de administração do IDENTIKEY Appliance. A vulnerabilidade de redirecionamento aberto pode ser usada em ataques de phishing para fazer com que os usuários visitem sites maliciosos sem perceber, enquanto as vulnerabilidades de script entre sites podem permitir que um invasor injete scripts maliciosos nas páginas da Web e obtenha privilégios de acesso elevados ao conteúdo sensível da página. , cookies de sessão e outras informações.

Produtos impactados

Os seguintes produtos são afetados pelas vulnerabilidades:

  • Servidor de autenticação IDENTIKEY 3.3 a 3.6.
  • Sites do servidor de autenticação IDENTIKEY que fazem parte do IDENTIKEY Appliance 3.4.6.2 a 3.6.8.0.
  • Dispositivo IDENTIKEY 3.5.7. {1-6} e 3.6.8.0.

Descrição

Os sites do OneSpan IDENTIKEY Authentication Server estão sujeitos a uma vulnerabilidade de redirecionamento aberto que pode permitir que um invasor realize ataques de phishing. Eles também estão sujeitos a vulnerabilidades de script entre sites que podem permitir que um invasor injete scripts maliciosos nas páginas da web afetadas e usa esse vetor de ataque para, por exemplo, roubar cookies de sessão.

Pontuação de gravidade

A tabela abaixo indica a pontuação de vulnerabilidade do CVSS 2.0 das várias vulnerabilidades.

Pontuação básica do CVSS: 5.0

Vetor de acesso Complexidade de acesso

Autenticação

Impacto da confidencialidade Impacto na integridade Impacto na disponibilidade
Rede Baixo Nenhum Parcial Nenhum Nenhum

 

Pontuação Temporal CVSS: 4.8

Exploração Nível de correção Relatório de Confiança
Funcional Indisponível Confirmado

 

Correções do produto

O OneSpan lançará os seguintes patches:

  • Sites do Servidor de Autenticação IDENTIKEY 3.6.1, em 28 de novembro de 2014
  • IDENTIKEY Appliance 3.6.8.1, em 28 de novembro de 2014

Os clientes que implantaram um dos pacotes independentes impactados dos sites do servidor de autenticação IDENTIKEY devem desinstalar este pacote e instalar os sites do servidor de autenticação IDENTIKEY 3.6.1.

Os clientes que implantaram os sites impactados do servidor de autenticação IDENTIKEY como parte do servidor de autenticação IDENTIKEY devem desinstalar esse recurso da instalação do servidor de autenticação IDENTIKEY e instalar os sites do servidor de autenticação IDENTIKEY 3.6.1.

Recomenda-se que os clientes que usam versões impactadas do IDENTIKEY Appliance atualizem para o IDENTIKEY Appliance 3.6.8.1.

Localização

Para o servidor de autenticação IDENTIKEY:

Os clientes com um contrato de manutenção podem obter versões fixas do produto no MyMaintenance. Clientes sem contrato de manutenção devem entrar em contato com o representante de vendas local.

Para o equipamento IDENTIKEY:

Os clientes com um contrato de manutenção podem obter versões fixas do produto no MyMaintenance ou optar por atualização on-line no assistente de atualização do IDENTIKEY Appliance. Clientes sem contrato de manutenção devem entrar em contato com o representante de vendas local.

Referência

O OneSpan gostaria de agradecer a Richard Dalton, da Rits Information Security, por relatar as vulnerabilidades ao OneSpan PSIRT.

Contrato

Embora todo esforço razoável seja feito para processar e fornecer informações precisas, todo o conteúdo e as informações contidas neste documento são fornecidos "no estado em que se encontram" e "conforme disponível", sem qualquer representação ou endosso e sem garantia expressa ou implícita, COMPETÊNCIA OU ADEQUAÇÃO, OU QUALQUER GARANTIA, INCLUINDO AS GARANTIAS DE COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM USO OU FINS ESPECÍFICOS. A UTILIZAÇÃO DESTE DOCUMENTO, QUALQUER INFORMAÇÃO FORNECIDA OU MATERIAIS LIGADOS DESTE DOCUMENTO É POR SUA CONTA E RISCO. A VASCO RESERVA-SE O DIREITO DE ALTERAR OU ATUALIZAR AS INFORMAÇÕES DESTE DOCUMENTO A QUALQUER MOMENTO E A SEU DISCRETO, E QUANDO SE TIVER DISPONIBILIDADE DE INFORMAÇÕES NOVAS OU ADICIONAIS.

 

Direitos autorais © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos os direitos reservados.

🖨 Vulnerabilidades de redirecionamento aberto e de script entre sites nos produtos OneSpan IDENTIKEY