Открытые уязвимости перенаправления и межсайтового скриптинга в продуктах OneSpan IDENTIKEY

Консультативный ID Васко-са-20141029-XSS

Номер ревизии 1,1

Дата выпуска 29 октября 2014 г. 13:53 UTC + 1

Последнее обновление 13 ноября 2014 г. 13:54 UTC + 1

Резюме

23 сентября 2014 года OneSpan стало известно об уязвимостях открытого перенаправления и межсайтового скриптинга на веб-сайтах сервера аутентификации OneSpan IDENTIKEY и на веб-сайте администрирования устройства IDENTIKEY. Уязвимость открытого перенаправления может использоваться в фишинговых атаках, чтобы заставить пользователей посещать вредоносные сайты, не осознавая этого, в то время как уязвимости межсайтового скриптинга могут позволить злоумышленнику внедрить вредоносные сценарии в веб-страницы и получить повышенные права доступа к конфиденциальному содержимому страницы. , сеансовые куки и другая информация.

Затронутые продукты

Следующие продукты подвержены уязвимостям:

  • IDENTIKEY Аутентификационный сервер 3.3 до 3.6.
  • Веб-сайты сервера аутентификации IDENTIKEY являются частью устройства IDENTIKEY с 3.4.6.2 по 3.6.8.0.
  • IDENTIKEY Appliance 3.5.7. {1-6} и 3.6.8.0.

Описание

Веб-сайты сервера аутентификации OneSpan IDENTIKEY подвержены уязвимости открытого перенаправления, которая может позволить злоумышленнику выполнять фишинговые атаки. Они также подвержены уязвимостям межсайтового скриптинга, которые могут позволить злоумышленнику внедрить вредоносные скрипты в уязвимые веб-страницы и использовать этот вектор атаки, например, для кражи файлов cookie сеанса.

Оценка серьезности

В приведенной ниже таблице указаны оценки уязвимости CVSS 2.0 для различных уязвимостей.

Базовая оценка CVSS: 5.0

Вектор доступа Сложность доступа

Аутентификация

Влияние на конфиденциальность Влияние целостности Влияние доступности
сеть Низкий Никто частичный Никто Никто

 

CVSS Temporal Score: 4,8

уязвимостей Уровень исправления Сообщить об Уверенности
функциональная Недоступен подтвердил

 

Исправления продукта

OneSpan выпустит следующие патчи:

  • Сайты сервера аутентификации IDENTIKEY 3.6.1, 28 ноября 2014 г.
  • Устройство IDENTIKEY 3.6.8.1, 28 ноября 2014 г.

Клиенты, которые развернули один из затронутых автономных пакетов веб-сайта сервера аутентификации IDENTIKEY, должны удалить этот пакет и установить веб-сайты сервера аутентификации IDENTIKEY 3.6.1.

Клиенты, которые развернули затронутые веб-сайты сервера аутентификации IDENTIKEY как часть сервера аутентификации IDENTIKEY, должны удалить эту функцию со своего сервера аутентификации IDENTIKEY и установить веб-сайты сервера аутентификации IDENTIKEY 3.6.1.

Пользователям, использующим уязвимые версии устройства IDENTIKEY, рекомендуется выполнить обновление до устройства IDENTIKEY 3.6.8.1.

Место расположения

Для сервера аутентификации IDENTIKEY:

Клиенты с контрактом на техническое обслуживание могут получить фиксированные выпуски продуктов от MyMaintenance. Клиенты без контракта на техническое обслуживание должны связаться с местным торговым представителем.

Для устройства IDENTIKEY:

Клиенты с контрактом на обслуживание могут получить фиксированные выпуски продукта от MyMaintenance или выбрать онлайн-обновление в мастере обновления устройства IDENTIKEY. Клиенты без контракта на техническое обслуживание должны связаться с местным торговым представителем.

Ссылка

OneSpan благодарит Ричарда Далтона из Rits Information Security за сообщение об уязвимостях в OneSpan PSIRT.

Правовая оговорка

В то время как КАЖДЫЙ РАЗУМНЫЙ УСИЛИЯ СДЕЛАН ДЛЯ ОБРАБОТКИ И ПРЕДОСТАВЛЕНИЯ ТОЧНОЙ ИНФОРМАЦИИ, ВСЕ СОДЕРЖАНИЕ И ИНФОРМАЦИЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ ПРЕДОСТАВЛЯЕТСЯ «КАК ЕСТЬ» И «КАК ДОСТУПНО», БЕЗ КАКИХ-ЛИБО ПРЕДСТАВЛЕНИЯ ИЛИ ПРИГОДНОСТИ ИЛИ В СООТВЕТСТВИИ С ИСПОЛЬЗОВАНИЕМ НИКАКОГО СРОКА ПОЛНОСТЬЮ ИЛИ ПОДХОДА ИЛИ ЛЮБОЙ ГАРАНТИИ, ВКЛЮЧАЯ ГАРАНТИИ ТОВАРНОГО ОБЕСПЕЧЕНИЯ ИЛИ ПРИГОДНОСТИ ДЛЯ ОСОБЕННОГО ИСПОЛЬЗОВАНИЯ ИЛИ ЦЕЛИ. ВЫ ИСПОЛЬЗУЕТЕ ЭТОТ ДОКУМЕНТ, ПРЕДОСТАВЛЯЕТСЯ ЛЮБАЯ ИНФОРМАЦИЯ ИЛИ МАТЕРИАЛЫ, СВЯЗАННЫЕ С ЭТОМ ДОКУМЕНТОМ, НА СВОЙ СТРАХ И РИСК. VASCO оставляет за собой право изменять или обновлять информацию в этом документе в любое время и по своему усмотрению, а также когда новая или дополнительная информация становится доступной.

 

Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Все права защищены.

🖨 Открытые уязвимости перенаправления и межсайтового скриптинга в продуктах OneSpan IDENTIKEY