Argitalpen data: 2019/06/06
Garrantzia: Txikia
Kaltetutako baliabideak:
- Sentinel LDK, 7.92 bertsioaren aurreko guztiak
Azalpena:
Kaspersky Lab-eko Artem Zinenko ikertzaileak Gemalto-ren Sentinel LDKri eragiten dioten «HTTPOnly» atributurik gabeko cookie erako eta komunikazioak testu argian erako hainbat ahultasunen berri eman du. Urruneko erasotzaile batek man-in-the-middle erako eraso bat egin lezake, eta biktimaren hizkuntzaren paketea ordeztu edo erabiltzailearen cookiea lapurtu.
Konponbidea:
- Ahultasun horiek konpontzeko Sentinel LDK 7.92 bertsiora eguneratzea gomendatzen da.
Xehetasuna:
- «HTTPOnly» atributurik gabeko cookiea: «Hasplm» cookieak «HTTPOnly» atributurik ez dauka. Hori baliatuz erasotzaile batek cookiea lapurtu lezake javascript kodearen bidez. Ahultasun horretarako CVE-2019-8283 identifikatzailea erreserbatu da.
- Komunikazioak testu argian: Gemalto Admin Control Center softwareak HTTP testu argiko komunikazioak erabiltzen ditu www3.safenet-inc.com-ekin komunikatzeko, hizkuntza paketeak eskuratzearren. Hori baliatuz erasotzaile batek man-in-the-middle erako eraso bat egin lezake, eta hizkuntzaren paketea ordeztu asmo gaiztoko beste batekin. Ahultasun horretarako CVE-2019-8282 identifikatzailea erreserbatu da.
Etiketak: Eguneraketa, Ahultasuna