Отраженная уязвимость межсайтового скриптинга в аутентификации DIGIPASS для Citrix Web Interface

Консультативный ID Васко-са-20150903-DPAuth4CWI

Номер ревизии 1,0

Дата выпуска 03 сентября 2015 13:19 UTC + 1

Последнее обновление 03 сентября 2015 13:19 UTC + 1

Резюме

Аудиторы информационной безопасности компании Integrity в частном порядке сообщили об уязвимости межсайтового скриптинга, которая может присутствовать в установках Citrix Web Interface, в которых используется плагин OneSpan DIGIPASS для аутентификации Citrix Web Interface. Эта проблема присутствует на странице входа в Citrix Web Interface.

Затронутые продукты

Следующие продукты подвержены этой уязвимости:

Аутентификация DIGIPASS для Citrix Web Interface

Описание

Подключаемый модуль аутентификации DIGIPASS может быть настроен на передачу информации в Citrix, если он не прошел запрос аутентификации. Эта информация может использоваться для предоставления пользователям объяснения причин, по которым их логин не удался, и шагов, которые они могут предпринять, чтобы устранить проблему. Модуль аутентификации DIGIPASS передает Citrix код ошибки или состояния и текст сообщения для сервера аутентификации, который затем может отображать дословное сообщение или интерпретировать код, чтобы предоставить пользователю четкое объяснение или набор инструкций.

В составе установочного пакета OneSpan предоставляет пример файла feedback.inc, который клиенты должны скопировать в установочный каталог Citrix. Код в файле feedback.inc выполняется во время загрузки страницы входа в веб-интерфейс Citrix. Пример кода отображает код ошибки или состояния и текст сообщения без применения фильтрации ввода, что приводит к отраженной уязвимости межсайтового скриптинга.

Клиенты уязвимы только в том случае, если они заменили файл feedback.inc файлом примера, предоставленным OneSpan, или обновили свой файл feedback.inc, используя образец кода, доступный в документации по продукту.

Оценка серьезности

В приведенных ниже таблицах указана оценка уязвимости CVSS 2.0 для различных уязвимостей.

Базовая оценка CVSS: 4,3
Вектор доступа Сложность доступа Аутентификация Влияние на конфиденциальность Влияние целостности Влияние доступности
сеть средний Никто частичный Никто Никто

 

Исправления продукта

Поскольку приближающаяся дата окончания обслуживания, установленная Citrix для ее продукта Citrix Web Interface, OneSpan не будет выпускать обновление подключаемого модуля аутентификации DIGIPASS для Citrix Web Interface. Вместо этого клиенты, которые изменили файл feedback.inc своего продукта Citrix Web Interface, должны применить обходной путь, описанный ниже.

Чтобы исправить эту проблему, пострадавший клиент может использовать одно из следующих решений:

Клиент может заменить файл feedback.inc оригинальным файлом feedback.inc, предоставленным Citrix. В этом случае клиент должен установить флажок «Причина возврата» не отмечен в Центре конфигурации подключаемых модулей аутентификации DIGIPASS.

Клиент может отредактировать файл feedback.inc и удалить или закомментировать код, отображающий причину сбоя DIGIPASS. Клиенты должны следовать этому подходу, если исходный файл feedback.inc больше не доступен.

Более подробную информацию об этих решениях можно найти в статье базы знаний OneSpan KB 140148.

Место расположения

OneSpan высоко оценивает усилия тех, кто занимается безопасностью, которые помогают нам защищать клиентов посредством скоординированного раскрытия уязвимостей Смотрите наш Зал славы для получения дополнительной информации.

Ссылка

непригодный

Правовая оговорка

Хотя все разумные усилия предпринимаются для обработки и предоставления информации, которая является точной, все содержание и информация в этом документе предоставляются "как есть" и "как доступно", без какого-либо представительства или поддержки и без каких-либо явных или подразумеваемых гарантий валюты, ПОЛНОСТЬЮ ИЛИ ПРИГОДНОСТИ ИЛИ ЛЮБОЙ ГАРАНТИИ, ВКЛЮЧАЯ ГАРАНТИИ ТОВАРНОГО ОБЕСПЕЧЕНИЯ ИЛИ ПРИГОДНОСТИ ДЛЯ ОСОБЕННОГО ИСПОЛЬЗОВАНИЯ ИЛИ ЦЕЛИ. ВЫ ИСПОЛЬЗУЕТЕ ЭТОТ ДОКУМЕНТ, ПРЕДОСТАВЛЯЕТСЯ ЛЮБАЯ ИНФОРМАЦИЯ ИЛИ МАТЕРИАЛЫ, СВЯЗАННЫЕ С ЭТОМ ДОКУМЕНТОМ, НА СВОЙ СТРАХ И РИСК. VASCO оставляет за собой право изменять или обновлять информацию в этом документе в любое время и по своему усмотрению, а также когда новая или дополнительная информация становится доступной.

Copyright © 2015 VASCO Data Security, Inc., VASCO Data Security International GmbH. Все права защищены.

🖨 Отраженная уязвимость межсайтового скриптинга в аутентификации DIGIPASS для Citrix Web Interface