Fallo de seguridad en OpenID - xombra.com



OpenID es un estándar de identificación digital descentralizado que permite a sus usuarios utilizar una única cuenta para poder acceder a diferentes sitios. Con esto se obtiene un mejor control de los datos asociados a la cuenta, ya que se encuentran en un único punto. Además es el proveedor del ID quien se encarga de identificar al usuario, evitando así que la contraseña sea gestionada por los diferentes sitios a los que se desea acceder.

El fallo se encuentra en los proveedores de OpenID que utilizaban 'OpenID4Java', que no verificaba si la información pasada a través de Attribute Exchange estaba firmada o no. Esto podría ser aprovechado por un atacante remoto modificar la información que es intercambiada entre las distintas partes que se comunican, con lo que la información que sólo es confiada al proveedor de identidad puede ser comprometida.

Los descubridores de la vulnerabilidad, Rui Wang, Shuo Chen y XiaoFeng Wang, se pusieron en contacto con todos los sitios afectados por dicho problema, quienes ya han emitido sus respectivos parches de seguridad.

Más Información:

Attribute Exchange Security Alert
http://openid.net/2011/05/05/attribute-exchange-security-alert/

Javier Rascón
http://www.hispasec.com/


Guardar publicación en PDF

Otras noticias de interes:

 Multiples Vulnerabilidades en Internet Explorer
Estas fallas permiten la ejecucion de codigo arbitrario, cross site scripting (XSS), creacion de y ejecucion de Pop-Ups sin limites (El unico limite es la memoria de la PC), todo esto podria llevar a un colapso del Internet Explorer y/o Outlook Express y hasta el sistema en si; o sea una denegacion de servicio (D.o.S, sigla en Ingles "Denial Of Service").
 Hueco Importante de seguridad en Apache
Parece que los servidores web más usados en Internet, (IIS, producto de pago de Microsoft y Apache, gratuito y de código abierto) se han puesto de acuerdo en estos días para ser peligrosamente vulnerables a cierto tipo de ataques. Tras el problema WebDAV con IIS, Apache Software Fundation acaba de avisar de un grave problema de seguridad. Lo curioso es que no es la primera vez que las vulnerabilidades coinciden en el tiempo, y esto supone un grave riesgo para todos.
 Actualización de seguridad para Apple Mac OS X
Apple ha lanzado recientemente una nueva actualización de seguridad para su sistema operativo Mac OS X (versiones 10.5.8 y 10.6.4); que solventa 13 vulnerabilidades que podrían ser aprovechadas por un atacante, local o remoto, con diversos efectos.
 El 90% de empresas han perdido información por un ciberataque
Las fugas causadas por las actividades de los empleados reducen su importancia en relación al gran número de ataques externos, según un estudio de Symantec.
 Open Cloud Consortium promoverá la interoperatividad de la informática en nube
Un grupo de universidades ha creado Open Cloud Consortium (OCC), una de cuyas misiones será promover la interoperatividad entre las clouds que hoy día están creando ya proveedores de servicios y empresas mediante estándares abiertos, evitando así que queden convertidas en nubes separadas, incapaces de comunicarse adecuadamente.

Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • fallo

  • seguridad

  • openid

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • internet

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • chrome

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql