Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en Sentinel LDK de Gemalto

Fecha de publicación: 06/06/2019

Importancia: Baja

Recursos afectados:

  • Sentinel LDK todas las versiones anteriores a 7.92

Descripción:

El investigador Artem Zinenko de Kaspersky Lab ha reportado múltiples vulnerabilidades del tipo cookie sin atributo «HTTPOnly» y comunicaciones en texto claro que afectan a Sentinel LDK de Gemalto. Un atacante remoto podría realizar un ataque man-in-the-middle y reemplazar el paquete de idioma de la víctima o el robar la cookie del usuario.

Solución:

  • Se recomienda actualizar Sentinel LDK a la versión 7.92 la cual soluciona estas vulnerabilidades.

Detalle:

  • Cookie sin atributo «HTTPOnly»: la cookie «Hasplm» no posee el atributo «HTTPOnly» lo que podría permitir a un atacante el robo de la cookie mediante código javascript. Se ha reservado el identificador CVE-2019-8283 para esta vulnerabilidad.
  • Comunicaciones en texto claro: el software Gemalto Admin Control Center emplea comunicaciones en texto claro HTTP para comunicarse con www3.safenet-inc.com para obtener los paquetes de lenguaje. Esto podría permitir a un atacante realizar un ataque man-in-the-middle y reemplazar el paquete de lenguaje por uno malicioso. Se ha reservado el identificador CVE-2019-8282 para esta vulnerabilidad.

Etiquetas: Actualización, Vulnerabilidad