Уязвимость OpenSSL, связанная с Heartbleed, в продуктах OneSpan

ID Консультата Васко-са-20140417-heartbleed

Номер редакции 1,3

Дата выпуска 17 апреля 2014 г. 14:45 UTC + 1

Последнее обновление 12 мая 2014 года, 14:45 UTC + 1

Резюме

Несколько продуктов OneSpan включают версию библиотеки OpenSSL, подверженную уязвимости, которая позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, извлекать части размером 64 килобайта из памяти клиентского или серверного продукта OneSpan. Эта уязвимость называется ошибкой Heartbleed. 

Уязвимость связана с проверкой отсутствующих границ при обработке расширения тактового импульса безопасности транспортного уровня (TLS), как указано в RFC 6520. Злоумышленник может использовать эту уязвимость, внедрив вредоносный клиент TLS, если он пытается использовать уязвимость на уязвимом сервере, или вредоносный сервер TLS, если пытается использовать уязвимость на уязвимом клиенте. Эксплойт может отправить специально созданный пакет контрольного сообщения подключенному клиенту или серверу. Эксплойт может позволить злоумышленнику раскрыть 64 килобайта памяти от подключенного клиента или сервера для каждого отправленного пакета контрольного сигнала. Раскрытые части памяти могут включать в себя конфиденциальную информацию, такую как закрытые ключи и данные для конкретного приложения. 

Эта уязвимость упоминается при использовании идентификатора общих уязвимостей и уязвимостей CVE-2014-0160.

Затронутые продукты

Ошибка Heartbleed затрагивает следующие продукты OneSpan:

  • Персональный aXsGUARD 2.0.0
  • IDENTIKEY сервер аутентификации 3.5 и патч 3.5.1
  • Устройство IDENTIKEY 3.5.7.0, 3.5.7.1 и 3.5.7.2
  • Виртуальное устройство IDENTIKEY 3.5.7.0, 3.5.7.1 и 3.5.7.2
  • IDENTIKEY Сервер федерации 1.3 и 1.4
  • MYDIGIPASS.COM
  • Аутентификация DIGIPASS для Windows Logon 1.2.0
  • Инструмент синхронизации LDAP 1.3.0
  • Аутентификация DIGIPASS для IIS 3.5.0, Аутентификация DIGIPASS для Citrix Web Interface 3.6.0, Аутентификация DIGIPASS для Outlook Web Access 3.5.0, DIGIPASS Remote Desktop Web Access 3.5.0, Аутентификация DIGIPASS для SBR 3.5.

Эта ошибка не затрагивает устройства aXsGUARD GateKeeper и другие продукты OneSpan.

Описание

Влияние этой уязвимости на продукты OneSpan варьируется в зависимости от уязвимого продукта. Успешное использование уязвимости может привести к раскрытию части памяти от клиента или сервера. Раскрытые части памяти могут включать в себя конфиденциальную информацию, такую как закрытые ключи и данные для конкретного приложения.

Оценка серьезности

В таблице ниже указана оценка уязвимости CVSS 2.0.

Базовая оценка CVSS: 5
Вектор доступа Сложность доступа Аутентификация Влияние на конфиденциальность Влияние целостности Влияние доступности
сеть Низкий Никто частичный Никто  Никто

 

Исправления продукта

OneSpan обновил свой сервис аутентификации MYDIGIPASS.COM 9 апреля 2014 года. 
OneSpan выпустил исправления для следующих продуктов:

  • IDENTIKEY Federation Server 1.4.1, выпущен 10 апреля 2014 г.
  • IDENTIKEY Federation Server 1.3.1, выпущен 11 апреля 2014 г.
  • Сервер аутентификации IDENTIKEY 3.5.2, выпущен 18 апреля 2014 г.
  • Устройство IDENTIKEY 3.5.7.3, выпущенное 18 апреля 2014 года
  • IDENTIKEY Virtual Appliance 3.5.7.3, выпущено 18 апреля 2014 г.
  • Аутентификация DIGIPASS для Windows Logon V1.2.1, выпущена 30 апреля 2014 г.
  • Средство синхронизации LDAP V1.3.2, выпущенное 9 мая 2014 года.
  • Аутентификация DIGIPASS для Citrix Web Interface V3.6.1, выпущена 9 мая 2014 года.
  • Аутентификация DIGIPASS для OWA Basic 3.5.1, выпущена 9 мая 2014 года.
  • Аутентификация DIGIPASS для форм OWA 3.5.1, выпущенная 9 мая 2014 года.
  • Аутентификация DIGIPASS для IIS Basic 3.5.1, выпущена 9 мая 2014 г.
  • DIGIPASS Remote Desktop Web Access 3.6.1, выпущена 9 мая 2014 года.
  • Аутентификация DIGIPASS для сервера RADIUS Steel-Belted 3.3.1, выпущена 9 мая 2014 года.

 

OneSpan выпустит следующие патчи:

  • Персональный aXsGUARD 2.1.0

 

Клиенты с уязвимыми продуктами должны предпринять следующие три шага, чтобы уменьшить уязвимость:

  • Шаг 1. Обновите все затронутые продукты, используя исправленные выпуски продуктов, предоставляемые OneSpan
  • Шаг 2: отзывать закрытые ключи SSL / TLS и выдавать новые пары ключей и сертификаты. Из-за ошибки нельзя исключить, что закрытые ключи SSL / TLS скомпрометированы. Поэтому клиенты должны отозвать свои существующие пары ключей и сертификатов и выдать новые.
  • Шаг 3: обновить конфиденциальные данные, которыми обмениваются с использованием SSL / TLS.  Клиенты должны оценить, не могут ли быть скомпрометированы конфиденциальные данные (например, пароли пользователей, данные кредитной карты), передаваемые по SSL / TLS. Эта оценка специфична для клиента. Если затрагиваются конфиденциальные данные, клиенты должны также рассмотреть возможность обновления этих данных.

Место расположения

Клиенты с контрактом на техническое обслуживание могут получить фиксированные выпуски продуктов от MyMaintenance.

Ссылка

Ссылки на публичные источники, связанные с уязвимостью

http://heartbleed.com

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

Отделение неотложной помощи для двухфакторной аутентификации Heartbleed

Исправление ошибки OpenSSL в финансовых учреждениях

Исправление ошибки OpenSSL в Heartbleed на MYDIGIPASS.COM

Повышение устойчивости к ошибкам, аналогичным Heartbleed, с помощью двухфакторной аутентификации

Правовая оговорка

В то время как КАЖДЫЙ РАЗУМНЫЙ УСИЛИЯ СДЕЛАН ДЛЯ ОБРАБОТКИ И ПРЕДОСТАВЛЕНИЯ ТОЧНОЙ ИНФОРМАЦИИ, ВСЕ СОДЕРЖАНИЕ И ИНФОРМАЦИЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ ПРЕДОСТАВЛЯЕТСЯ «КАК ЕСТЬ» И «КАК ДОСТУПНО», БЕЗ КАКИХ-ЛИБО ПРЕДСТАВЛЕНИЯ ИЛИ ПРИГОДНОСТИ ИЛИ В СООТВЕТСТВИИ С ИСПОЛЬЗОВАНИЕМ НИКАКОГО СРОКА ПОЛНОСТЬЮ ИЛИ ПОДХОДА ИЛИ ЛЮБОЙ ГАРАНТИИ, ВКЛЮЧАЯ ГАРАНТИИ ТОВАРНОГО ОБЕСПЕЧЕНИЯ ИЛИ ПРИГОДНОСТИ ДЛЯ ОСОБЕННОГО ИСПОЛЬЗОВАНИЯ ИЛИ ЦЕЛИ. ВЫ ИСПОЛЬЗУЕТЕ ЭТОТ ДОКУМЕНТ, ПРЕДОСТАВЛЯЕТСЯ ЛЮБАЯ ИНФОРМАЦИЯ ИЛИ МАТЕРИАЛЫ, СВЯЗАННЫЕ С ЭТОМ ДОКУМЕНТОМ, НА СВОЙ СТРАХ И РИСК. VASCO оставляет за собой право изменять или обновлять информацию в этом документе в любое время и по своему усмотрению, а также когда новая или дополнительная информация становится доступной. 

 

Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Все права защищены.

🖨 Уязвимость OpenSSL, связанная с сердечным кровотечением, в продукте OneSpan s