Консультативный ID Васко-са-20141029-XSS
Номер ревизии 1,1
Дата выпуска 29 октября 2014 г. 13:53 UTC + 1
Последнее обновление 13 ноября 2014 г. 13:54 UTC + 1
Резюме
23 сентября 2014 года OneSpan стало известно об уязвимостях открытого перенаправления и межсайтового скриптинга на веб-сайтах сервера аутентификации OneSpan IDENTIKEY и на веб-сайте администрирования устройства IDENTIKEY. Уязвимость открытого перенаправления может использоваться в фишинговых атаках, чтобы заставить пользователей посещать вредоносные сайты, не осознавая этого, в то время как уязвимости межсайтового скриптинга могут позволить злоумышленнику внедрить вредоносные сценарии в веб-страницы и получить повышенные права доступа к конфиденциальному содержимому страницы. , сеансовые куки и другая информация.
Затронутые продукты
Следующие продукты подвержены уязвимостям:
- IDENTIKEY Аутентификационный сервер 3.3 до 3.6.
- Веб-сайты сервера аутентификации IDENTIKEY являются частью устройства IDENTIKEY с 3.4.6.2 по 3.6.8.0.
- IDENTIKEY Appliance 3.5.7. {1-6} и 3.6.8.0.
Описание
Веб-сайты сервера аутентификации OneSpan IDENTIKEY подвержены уязвимости открытого перенаправления, которая может позволить злоумышленнику выполнять фишинговые атаки. Они также подвержены уязвимостям межсайтового скриптинга, которые могут позволить злоумышленнику внедрить вредоносные скрипты в уязвимые веб-страницы и использовать этот вектор атаки, например, для кражи файлов cookie сеанса.
Оценка серьезности
В приведенной ниже таблице указаны оценки уязвимости CVSS 2.0 для различных уязвимостей.
|
Базовая оценка CVSS: 5.0 |
|||||
| Вектор доступа | Сложность доступа |
Аутентификация |
Влияние на конфиденциальность | Влияние целостности | Влияние доступности |
| сеть | Низкий | Никто | частичный | Никто | Никто |
|
CVSS Temporal Score: 4,8 |
||
| уязвимостей | Уровень исправления | Сообщить об Уверенности |
| функциональная | Недоступен | подтвердил |
Исправления продукта
OneSpan выпустит следующие патчи:
- Сайты сервера аутентификации IDENTIKEY 3.6.1, 28 ноября 2014 г.
- Устройство IDENTIKEY 3.6.8.1, 28 ноября 2014 г.
Клиенты, которые развернули один из затронутых автономных пакетов веб-сайта сервера аутентификации IDENTIKEY, должны удалить этот пакет и установить веб-сайты сервера аутентификации IDENTIKEY 3.6.1.
Клиенты, которые развернули затронутые веб-сайты сервера аутентификации IDENTIKEY как часть сервера аутентификации IDENTIKEY, должны удалить эту функцию со своего сервера аутентификации IDENTIKEY и установить веб-сайты сервера аутентификации IDENTIKEY 3.6.1.
Пользователям, использующим уязвимые версии устройства IDENTIKEY, рекомендуется выполнить обновление до устройства IDENTIKEY 3.6.8.1.
Место расположения
Для сервера аутентификации IDENTIKEY:
Клиенты с контрактом на техническое обслуживание могут получить фиксированные выпуски продуктов от MyMaintenance. Клиенты без контракта на техническое обслуживание должны связаться с местным торговым представителем.
Для устройства IDENTIKEY:
Клиенты с контрактом на обслуживание могут получить фиксированные выпуски продукта от MyMaintenance или выбрать онлайн-обновление в мастере обновления устройства IDENTIKEY. Клиенты без контракта на техническое обслуживание должны связаться с местным торговым представителем.
Ссылка
OneSpan благодарит Ричарда Далтона из Rits Information Security за сообщение об уязвимостях в OneSpan PSIRT.
Правовая оговорка
В то время как КАЖДЫЙ РАЗУМНЫЙ УСИЛИЯ СДЕЛАН ДЛЯ ОБРАБОТКИ И ПРЕДОСТАВЛЕНИЯ ТОЧНОЙ ИНФОРМАЦИИ, ВСЕ СОДЕРЖАНИЕ И ИНФОРМАЦИЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ ПРЕДОСТАВЛЯЕТСЯ «КАК ЕСТЬ» И «КАК ДОСТУПНО», БЕЗ КАКИХ-ЛИБО ПРЕДСТАВЛЕНИЯ ИЛИ ПРИГОДНОСТИ ИЛИ В СООТВЕТСТВИИ С ИСПОЛЬЗОВАНИЕМ НИКАКОГО СРОКА ПОЛНОСТЬЮ ИЛИ ПОДХОДА ИЛИ ЛЮБОЙ ГАРАНТИИ, ВКЛЮЧАЯ ГАРАНТИИ ТОВАРНОГО ОБЕСПЕЧЕНИЯ ИЛИ ПРИГОДНОСТИ ДЛЯ ОСОБЕННОГО ИСПОЛЬЗОВАНИЯ ИЛИ ЦЕЛИ. ВЫ ИСПОЛЬЗУЕТЕ ЭТОТ ДОКУМЕНТ, ПРЕДОСТАВЛЯЕТСЯ ЛЮБАЯ ИНФОРМАЦИЯ ИЛИ МАТЕРИАЛЫ, СВЯЗАННЫЕ С ЭТОМ ДОКУМЕНТОМ, НА СВОЙ СТРАХ И РИСК. VASCO оставляет за собой право изменять или обновлять информацию в этом документе в любое время и по своему усмотрению, а также когда новая или дополнительная информация становится доступной.
Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Все права защищены.
🖨 Открытые уязвимости перенаправления и межсайтового скриптинга в продуктах OneSpan IDENTIKEY