Fallo de seguridad en OpenID - xombra.com



Se ha descubierto un fallo en la extensión Attribute Exchange de OpenID que podría permitir a un atacante remoto modificar la información que es intercambiada entre las partes encargadas de la autenticación.

OpenID es un estándar de identificación digital descentralizado que permite a sus usuarios utilizar una única cuenta para poder acceder a diferentes sitios. Con esto se obtiene un mejor control de los datos asociados a la cuenta, ya que se encuentran en un único punto. Además es el proveedor del ID quien se encarga de identificar al usuario, evitando así que la contraseña sea gestionada por los diferentes sitios a los que se desea acceder.

El fallo se encuentra en los proveedores de OpenID que utilizaban 'OpenID4Java', que no verificaba si la información pasada a través de Attribute Exchange estaba firmada o no. Esto podría ser aprovechado por un atacante remoto modificar la información que es intercambiada entre las distintas partes que se comunican, con lo que la información que sólo es confiada al proveedor de identidad puede ser comprometida.

Los descubridores de la vulnerabilidad, Rui Wang, Shuo Chen y XiaoFeng Wang, se pusieron en contacto con todos los sitios afectados por dicho problema, quienes ya han emitido sus respectivos parches de seguridad.

Más Información:

Attribute Exchange Security Alert
http://openid.net/2011/05/05/attribute-exchange-security-alert/

Javier Rascón
http://www.hispasec.com/


Guardar publicación en PDF

Otras noticias de interes:

 Móviles con GPS: ¿útiles o peligrosos?
Las alertas sobre el iPhone y otros dispositivos sobre el almacenamiento de datos de las rutas que siguen los usuarios abren el debate sobre la intimidad.
 El final para Karmic Koala Ubuntu 9.10
La versión 9.10 de Ubuntu, de nombre en código Karmic Koala, que fué liberada el día 29 de Octubre de 2009, está cercana a su fin.
 Ejecución de versiones no actualizadas de Sun Java
Un problema de seguridad ha sido reportado en Sun Java Plugin y Sun Java Web Start, el cuál puede ser explotado por usuarios maliciosos para eludir ciertas restricciones de seguridad, dejando al sistema en riesgo de otros ataques.
 Una de cada cinco organizaciones es atacada por Keyloggers
Una de cada cinco organizaciones es atacada por KeyloggersWebsense revela que una de cada cinco organizaciones es atacada por Keyloggers en lo que va de 2006. Los resultados del estudio ponen de manifiesto cómo ha cambiado el sector de la seguridad de la TI en un año.
 Macromedia avisa de otro problema crítico en el reproductor Flash
Macromedia ha publicado un aviso indicando la existencia de una vulnerabilidad de seguridad crítica en la versión 6 del reproductor Flash (que se estima está instalado en el 75% de los ordenadores existentes en todo el mundo con capacidad de conexión a Internet).

Indique que busca!!!


Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • fallo

  • seguridad

  • openid

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • internet

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • chrome

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql