Fallo de seguridad en OpenID - xombra.com



Se ha descubierto un fallo en la extensión Attribute Exchange de OpenID que podría permitir a un atacante remoto modificar la información que es intercambiada entre las partes encargadas de la autenticación.

OpenID es un estándar de identificación digital descentralizado que permite a sus usuarios utilizar una única cuenta para poder acceder a diferentes sitios. Con esto se obtiene un mejor control de los datos asociados a la cuenta, ya que se encuentran en un único punto. Además es el proveedor del ID quien se encarga de identificar al usuario, evitando así que la contraseña sea gestionada por los diferentes sitios a los que se desea acceder.

El fallo se encuentra en los proveedores de OpenID que utilizaban 'OpenID4Java', que no verificaba si la información pasada a través de Attribute Exchange estaba firmada o no. Esto podría ser aprovechado por un atacante remoto modificar la información que es intercambiada entre las distintas partes que se comunican, con lo que la información que sólo es confiada al proveedor de identidad puede ser comprometida.

Los descubridores de la vulnerabilidad, Rui Wang, Shuo Chen y XiaoFeng Wang, se pusieron en contacto con todos los sitios afectados por dicho problema, quienes ya han emitido sus respectivos parches de seguridad.

Más Información:

Attribute Exchange Security Alert
http://openid.net/2011/05/05/attribute-exchange-security-alert/

Javier Rascón
http://www.hispasec.com/


Guardar publicación en PDF

Otras noticias de interes:

 RealNetworks publica actualización para RealPlayer
RealNetworks ha anunciado una actualización para corregir once vulnerabilidades en RealNetworks RealPlayer, que podrían permitir a un atacante comprometer los sistemas afectados.
 Múltiples vulnerabilidades en Windows

1 - Ejecución de código en función LoadImage de User32.dll
2.- Windows: Desbordamiento de HEAP en Winhlp32.exe
3 - Fallo y DoS en Kernel de Windows con archivos .ANI

 Microsoft emitirá hoy un parche de emergencia
Microsoft publicará hoy con carácter extraordinario un parche de seguridad para cubrir con urgencia una brecha que afecta a los usuarios de Windows, saliéndose de su pauta habitual de esperar al segundo martes de cada mes para la emisión de un único boletín mensual con todos sus parches de seguridad.
 Expertos crean confusión sobre virus para Macintosh
¿Ha detectado la compañía de seguridad informática Intego el primer troyano diseñado específicamente para la plataforma OS X de Macintosh?
 Ejecución local con privilegios de System en Kerio
Menú de Administración en Kerio Firewall permite a usuarios locales ejecutar aplicaciones con privilegios de SYSTEM.
Johan Tuneld reporta una vulnerabilidad en Kerio Personal Firewall versión 2.x. Un usuario local puede ejecutar comandos con privilegios de SYSTEM.

Indique que busca!!!


Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • fallo

  • seguridad

  • openid

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • internet

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • chrome

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql