Avis ID vasco-sa-20150903-DPAuth4CWI
Numéro de révision 1.0
Date de sortie 03 septembre 2015 13:19 UTC1
Dernière mise à jour 03 septembre 2015 13:19 UTC1
Résumé
Les vérificateurs de la sécurité de l'information de la société Integrity ont signalé en privé une vulnérabilité de script intersite qui peut être présente dans les installations d'interface Web Citrix qui utilisent l'authentification DIGIPASS de OneSpan pour le plugin Citrix Web Interface. Le problème est présent dans la page de connexion de l'interface Web Citrix.
Produits touchés
Les produits suivants sont affectés par la vulnérabilité :
Authentification DIGIPASS pour Citrix Web Interface
Description
Le plug-in d'authentification DIGIPASS peut être configuré pour transmettre des informations à Citrix lorsqu'il échoue à une demande d'authentification. Ces informations peuvent être utilisées pour fournir aux utilisateurs une explication des raisons pour lesquelles leur connexion a échoué, et des mesures qu'ils peuvent être en mesure de prendre pour corriger le problème. Le plug-in d'authentification DIGIPASS transmettra le code d'erreur ou de statut et le texte du message pour le serveur d'authentification à Citrix, qui peut ensuite afficher le message mot à mot ou interpréter le code pour fournir à l'utilisateur une explication claire ou un ensemble d'instructions.
Dans le cadre du paquet d'installation OneSpan fournit un fichier feedback.inc échantillon que les clients doivent copier dans le répertoire d'installation Citrix. Le code dans le fichier feedback.inc est exécuté pendant le chargement de la page de connexion de l'interface Web Citrix. L'exemple de code affiche le code d'erreur ou d'état et le texte du message sans appliquer le filtrage des entrées, ce qui se traduit par une vulnérabilité de script intersite réfléchie.
Les clients ne sont vulnérables que s'ils ont remplacé le fichier feedback.inc par le fichier d'échantillon fourni par OneSpan, ou s'ils ont mis à jour leur fichier feedback.inc en utilisant le code d'échantillon disponible dans la documentation du produit.
Score de gravité
Les tableaux ci-dessous indiquent le score de vulnérabilité CVSS 2.0 des différentes vulnérabilités.
Score de base CVSS: 4.3 | |||||
Accès Vector | Complexité d'accès | Authentification | Impact sur la confidentialité | Impact sur l'intégrité | Impact sur la disponibilité |
réseau | Médium | Aucun | qui aime bien | Aucun | Aucun |
Corrections de produits
Depuis l'approche de la date de fin de maintenance fixée par Citrix pour son produit Citrix Web Interface, OneSpan ne publiera pas de mise à jour du plug-in d'authentification DIGIPASS pour Citrix Web Interface. Au lieu de cela les clients qui ont modifié le fichier feedback.inc de leur produit Citrix Web Interface devraient appliquer la contournement documenté ci-dessous.
Afin de remédier à ce problème, un client impacté peut utiliser l'une des solutions suivantes :
Le client peut remplacer le fichier feedback.inc par le fichier original feedback.inc qui a été fourni par Citrix. Dans ce cas, le client doit définir le drapeau 'Return failure reason' non coché dans le centre de configuration plug-in d'authentification DIGIPASS.
Le client peut modifier le fichier feedback.inc et supprimer ou commenter le code qui affiche la raison d'échec DIGIPASS. Les clients doivent suivre cette approche si le fichier feedback.inc d'origine n'est plus disponible.
Plus de détails sur ces solutions sont disponibles dans l'article KB 140148 de OneSpan.M. Knowledge Base.
Emplacement
OneSpan reconnaît les efforts des membres de la communauté de la sécurité qui nous aident à protéger nos clients grâce à une divulgation coordonnée de la vulnérabilité. Consultez notre Temple de la renommée pour plus d'informations.
référence
non applicable
Avis de non-responsabilité juridique
Alors que tous les efforts raisonnables sont faits pour PROCESS ET PROVIDE INFORMATION C'est exact, tous les contenuS ET INFORMATIONS DANS CE DOCUMENT sont fournis "AS IS" ET "AS AVAILABLE", SANS AUCUNE REPRÉSENTATION OU APPROBATION ET SANS TOUTE EXPRESS OU IMPLIED GUARANTEE OF CURRENCY, COMPLETENESS OR SUITABILITY, OR ANY WARRANTY INCLUDING THE WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR USE OR PURPOSE. VOTRE UTILISATION DE CE DOCUMENT, DE TOUTE INFORMATION FOURNIE OU DE DOCUMENTS LIÉS À CE DOCUMENT EST À VOS RISQUES ET PÉRILS. VASCO SE RÉSERVE LE DROIT DE MODIFIER OU DE METTRE À JOUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT À TOUT MOMENT ET À SA DISCRÉTION, AU FUR ET À MESURE QUE DES INFORMATIONS NOUVELLES OU SUPPLÉMENTAIRES SERONT DISPONIBLES.
Copyright © 2015 VASCO Data Security, Inc., VASCO Data Security International GmbH. Tous droits réservés.