Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/06/06

Garrantzia: Txikia

Kaltetutako baliabideak: 

• Sentinel LDK, 7.92 bertsioaren aurreko guztiak

Azalpena: 

Kaspersky Lab-eko Artem Zinenko ikertzaileak Gemalto-ren Sentinel LDKri eragiten dioten «HTTPOnly» atributurik gabeko cookie erako eta komunikazioak testu argian erako hainbat ahultasunen berri eman du. Urruneko erasotzaile batek man-in-the-middle erako eraso bat egin lezake, eta biktimaren hizkuntzaren paketea ordeztu edo erabiltzailearen cookiea lapurtu.

Konponbidea:

• Ahultasun horiek konpontzeko Sentinel LDK 7.92 bertsiora eguneratzea gomendatzen da.

Xehetasuna:

• «HTTPOnly» atributurik gabeko cookiea: «Hasplm» cookieak «HTTPOnly» atributurik ez dauka. Hori baliatuz erasotzaile batek cookiea lapurtu lezake javascript kodearen bidez. Ahultasun horretarako CVE-2019-8283 identifikatzailea erreserbatu da.
• Komunikazioak testu argian: Gemalto Admin Control Center softwareak HTTP testu argiko komunikazioak erabiltzen ditu www3.safenet-inc.com-ekin komunikatzeko, hizkuntza paketeak eskuratzearren. Hori baliatuz erasotzaile batek man-in-the-middle erako eraso bat egin lezake, eta hizkuntzaren paketea ordeztu asmo gaiztoko beste batekin. Ahultasun horretarako CVE-2019-8282 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Ahultasuna