Fallo de seguridad en OpenID - xombra.com



Se ha descubierto un fallo en la extensión Attribute Exchange de OpenID que podría permitir a un atacante remoto modificar la información que es intercambiada entre las partes encargadas de la autenticación.

OpenID es un estándar de identificación digital descentralizado que permite a sus usuarios utilizar una única cuenta para poder acceder a diferentes sitios. Con esto se obtiene un mejor control de los datos asociados a la cuenta, ya que se encuentran en un único punto. Además es el proveedor del ID quien se encarga de identificar al usuario, evitando así que la contraseña sea gestionada por los diferentes sitios a los que se desea acceder.

El fallo se encuentra en los proveedores de OpenID que utilizaban 'OpenID4Java', que no verificaba si la información pasada a través de Attribute Exchange estaba firmada o no. Esto podría ser aprovechado por un atacante remoto modificar la información que es intercambiada entre las distintas partes que se comunican, con lo que la información que sólo es confiada al proveedor de identidad puede ser comprometida.

Los descubridores de la vulnerabilidad, Rui Wang, Shuo Chen y XiaoFeng Wang, se pusieron en contacto con todos los sitios afectados por dicho problema, quienes ya han emitido sus respectivos parches de seguridad.

Más Información:

Attribute Exchange Security Alert
http://openid.net/2011/05/05/attribute-exchange-security-alert/

Javier Rascón
http://www.hispasec.com/



Otras noticias de interes:

 Zuckerberg y Schmidt: peligro en regular la Red
El creador de Facebook, Mark Zuckerberg, y el presidente de Google, Eric Schmidt, advirtieron en una conferencia en el eG8 de los peligros que tiene regular Internet de forma excesiva. El eG8 reúne en París a algunos de los actores con mayor influencia en el ámbito de Internet, procedentes tanto de compañías como del mundo de la política.
 Sospechan que Sobig.F comenzó en un sitio sexual del Web
Los expertos en seguridad en las computadoras frustraron el viernes un ataque del gusano Sobig.F mientras el FBI citaba a un proveedor de servicios de la Internet de Arizona para rastrear el virus, el cual sospechan que fue colocado por primera vez en un sitio de contenido sexual del Web.
 Nota de prensa oficial de la ISO sobre OOXML
Ya hay resultado oficial en forma de nota de prensa de la propia ISO.
 openSUSE 11.3 llegó!
La nueva versión openSUSE 11.3 tiene soporte para 32-bit y 64-bits, trae nuevas características y actualizaciones incluidas SpiderOak para sincronizar sus archivos a través de Internet, Rosegarden para la edición libre de tus archivos de audio, la indexación mejorada con Tracker, y actualizaciones de Mozilla Firefox y Thunderbird.
 Ejecución de código en Internet Explorer (daxctle.ocx)
Ha sido identificada una vulnerabilidad en Microsoft Internet Explorer, la cuál puede ser explotada por un atacante remoto para provocar el fallo del programa (denegación de servicio), o incluso tomar el control completo del sistema afectado, cuando el usuario visita un sitio web malicioso.

Indique que busca!!!


Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • fallo

  • seguridad

  • openid

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • internet

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • chrome

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql