Многочисленные проблемы OpenSSL, влияющие на продукты OneSpan

Консультативный ID Васко-са-20140605-OpenSSL

Номер ревизии 1,0

Дата выпуска 13 апреля 2015 г. 16:30 UTC + 1

Последнее обновление 13 апреля 2015 г. 16:30 UTC + 1

Резюме

5 июня 2014 года проект OpenSSL опубликовал рекомендации по безопасности, описывающие семь уязвимостей в библиотеке OpenSSL. Уязвимости упоминаются следующим образом:

  • Уязвимость SSL / TLS MITM
  • DTLS Ошибка рекурсии
  • Уязвимость недействительного фрагмента DTLS
  • SSL_MODE_RELEASE_BUFFERS NULL разыменование указателя
  • SSL_MODE_RELEASE_BUFFERS внедрение сеанса или отказ в обслуживании
  • Анонимный отказ в обслуживании ECDH
  • Атака восстановления ECDSA NONCE на боковом канале

Несколько продуктов OneSpan включают в себя версию библиотеки OpenSSL, подверженную одной или нескольким уязвимостям, которые могут позволить удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить атаку типа «человек посередине», внедрить данные сеанса SSL / TLS или нарушить доступность службы.

Затронутые продукты

Следующие продукты подвержены уязвимости SSL / TLS MITM:
Серверы SSL / TLS

  • IDENTIKEY Server 3.3, 3.4
  • IDENTIKEY Аутентификационный Сервер 3.4 SR1, 3.5
  • IDENTIKEY Сервер федерации 1.3, 1.4, 1.5
  • IDENTIKEY (виртуальное) устройство 3.4.5. (0,1)
  • IDENTIKEY (виртуальное) устройство 3.4.6. (0,1,2,3)
  • Устройство IDENTIKEY (виртуальное) 3.5.7. (1,2,3,4)
  • aXsGUARD Gatekeeper 7.0.0 PL19, 7.1.0 PL6, 7.6.5, 7.7.0, 7.7.1, 7.7.2

Клиенты SSL / TLS

  • Инструмент синхронизации LDAP 1.1, 1.2
  • Data Migration Tool 2.0, 2.1, 2.2, 2.3, 2.4
  • Аутентификация DIGIPASS для Windows Logon 1.1, 1.2
  • Аутентификация DIGIPASS для Citrix Web Interface 3.3, 3.4, 3.5, 3.6
  • Аутентификация DIGIPASS для IIS - Basic 3.3, 3.4, 3.5
  • Аутентификация DIGIPASS для Outlook Web Access - Basic 3.3, 3.4, 3.5
  • Аутентификация DIGIPASS для Outlook Web Access - формы 3.3, 3.4, 3.5
  • Аутентификация DIGIPASS для удаленного рабочего стола Web Access 3.4, 3.5, 3.6
  • Аутентификация DIGIPASS для стального пояса RADIUS Server 3.2, 3.3
  • Персональный aXsGUARD 1.1.3, 2.1.0

Следующие продукты подвержены уязвимости, связанной с разыменованием указателя SSL_MODE_RELEASE_BUFFERS NULL:

  • IDENTIKEY Сервер федерации 1.3, 1.4, 1.5
  • aXsGUARD Gatekeeper 7.7.0, 7.7.1, 7.7.2

Следующие продукты подвержены уязвимости внедрения сеанса SSL_MODE_RELEASE_BUFFERS или уязвимости отказа в обслуживании:

  • IDENTIKEY Сервер федерации 1.3, 1.4, 1.5
  • aXsGUARD Gatekeeper 7.7.0, 7.7.1, 7.7.2

Описание

5 июня 2014 года проект OpenSSL опубликовал рекомендации по безопасности, описывающие семь уязвимостей в библиотеке OpenSSL.
Влияние этой уязвимости на продукты OneSpan варьируется в зависимости от уязвимого продукта.

SSL / TLS Man-in-the-Middle

Удаленный злоумышленник, не прошедший проверку подлинности и имеющий возможность перехватывать трафик между уязвимым клиентом SSL / TLS и сервером SSL / TLS, может выполнить атаку «человек посередине». Эта уязвимость была назначена CVE-2014-0224.

SSL_MODE_RELEASE_BUFFERS NULL разыменование указателя

Удаленный злоумышленник, не прошедший проверку подлинности, может отправить вредоносный запрос, предназначенный для разыменования нулевого указателя. Это может привести к частичному или полному отказу в обслуживании на соответствующем устройстве. Эта уязвимость была назначена CVE-2014-0198.

SSL_MODE_RELEASE_BUFFERS внедрение сеанса или отказ в обслуживании

Удаленный злоумышленник, не прошедший проверку подлинности, может отправить вредоносный запрос, предназначенный для внедрения содержимого в параллельный сеанс SSL / TLS или создания условия отказа в обслуживании. Эта уязвимость была назначена CVE-2010-5298.

Для получения дополнительной информации клиенты могут получить рекомендации по безопасности проекта OpenSSL: http://www.openssl.org/news/secadv_20140605.txt

Оценка серьезности

В приведенных ниже таблицах указана оценка уязвимости CVSS 2.0 для различных уязвимостей.

SSl / TLS Man-in-the-Middle

CVSS Temporal Score: 3,6

Базовая оценка CVSS: 4,3
Доступ Vecto р Сложность доступа

Аутентификация

Влияние на конфиденциальность Влияние целостности Влияние доступности
сеть средний Никто Никто частичный Никто
уязвимостей Уровень исправления Сообщить об Уверенности
функциональная Официальное исправление подтвердил

 

SSL_MODE_RELEASE_BUFFERS NULL разыменование указателя

Базовая оценка CVSS: 7,1

Вектор доступа

Сложность доступа

Аутентификация

Влияние на конфиденциальность Влияние целостности Влияние доступности
сеть средний Никто Никто Никто полный
CVSS Temporal Score: 7,8
уязвимостей Уровень исправления Сообщить об Уверенности
функциональная Официальное исправление подтвердил

 

SSL_MODE_RELEASE_BUFFERS внедрение сеанса или отказ в обслуживании

Базовая оценка CVSS: 7,8

Вектор доступа Сложность доступа Аутентификация Влияние на конфиденциальность Влияние целостности Влияние доступности
сеть средний Никто Никто частичный полный
CVSS Temporal Score: 6,4
уязвимостей Уровень исправления Сообщить об Уверенности
функциональная Официальное исправление подтвердил

 

Исправления продукта

OneSpan выпустил исправления для следующих продуктов:

  • Сервер федерации IDENTIKEY 1.3.2, 1.4.2, 1.5.1 от 13 июня 2014 г.

OneSpan выпустит следующие патчи:

  • Сервер аутентификации IDENTIKEY 3.5.4 23 июня 2014 г.
  • Устройство IDENTIKEY (виртуальное) 3.5.7.5 23 июня 2014 г.
  • aXsGUARD Gatekeeper 7.7.3, дата выхода которого будет объявлена позже

Клиентам, использующим IDENTIKEY Server 3.3 или 3.4, и клиентам, использующим IDENTIKEY Authentication Server 3.4 SR1, рекомендуется выполнить обновление до IDENTIKEY Authentication Server 3.5 и применить соответствующее исправление для этой версии.
Пользователям, использующим aXsGUARD Gatekeeper, рекомендуется выполнить обновление до aXsGUARD Gatekeeper 7.7.3.
Клиентам, использующим клиентский продукт, подверженный уязвимости SSL / TLS Man-in-the-Middle, рекомендуется обновить соответствующий серверный продукт. Такой подход позволит избежать любого воздействия, поскольку для использования уязвимости требуются как уязвимые клиентские, так и серверные продукты.

Место расположения

Клиенты с контрактом на техническое обслуживание могут получить фиксированные выпуски продуктов от MyMaintenance.

Ссылка

http://www.openssl.org/news/secadv_20140605.txt

Правовая оговорка

В то время как КАЖДЫЙ РАЗУМНЫЙ УСИЛИЯ СДЕЛАН ДЛЯ ОБРАБОТКИ И ПРЕДОСТАВЛЕНИЯ ТОЧНОЙ ИНФОРМАЦИИ, ВСЕ СОДЕРЖАНИЕ И ИНФОРМАЦИЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ ПРЕДОСТАВЛЯЕТСЯ «КАК ЕСТЬ» И «КАК ДОСТУПНО», БЕЗ КАКИХ-ЛИБО ПРЕДСТАВЛЕНИЯ ИЛИ ПРИГОДНОСТИ ИЛИ В СООТВЕТСТВИИ С ИСПОЛЬЗОВАНИЕМ НИКАКОГО СРОКА ПОЛНОСТЬЮ ИЛИ ПОДХОДА ИЛИ ЛЮБОЙ ГАРАНТИИ, ВКЛЮЧАЯ ГАРАНТИИ ТОВАРНОГО ОБЕСПЕЧЕНИЯ ИЛИ ПРИГОДНОСТИ ДЛЯ ОСОБЕННОГО ИСПОЛЬЗОВАНИЯ ИЛИ ЦЕЛИ. ВЫ ИСПОЛЬЗУЕТЕ ЭТОТ ДОКУМЕНТ, ПРЕДОСТАВЛЯЕТСЯ ЛЮБАЯ ИНФОРМАЦИЯ ИЛИ МАТЕРИАЛЫ, СВЯЗАННЫЕ С ЭТОМ ДОКУМЕНТОМ, НА СВОЙ СТРАХ И РИСК. VASCO оставляет за собой право изменять или обновлять информацию в этом документе в любое время и по своему усмотрению, а также когда новая или дополнительная информация становится доступной. 

Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Все права защищены.

🖨 Множество проблем OpenSSL, влияющих на продукты OneSpan