Fallo de seguridad en OpenID - xombra.com



Se ha descubierto un fallo en la extensión Attribute Exchange de OpenID que podría permitir a un atacante remoto modificar la información que es intercambiada entre las partes encargadas de la autenticación.

OpenID es un estándar de identificación digital descentralizado que permite a sus usuarios utilizar una única cuenta para poder acceder a diferentes sitios. Con esto se obtiene un mejor control de los datos asociados a la cuenta, ya que se encuentran en un único punto. Además es el proveedor del ID quien se encarga de identificar al usuario, evitando así que la contraseña sea gestionada por los diferentes sitios a los que se desea acceder.

El fallo se encuentra en los proveedores de OpenID que utilizaban 'OpenID4Java', que no verificaba si la información pasada a través de Attribute Exchange estaba firmada o no. Esto podría ser aprovechado por un atacante remoto modificar la información que es intercambiada entre las distintas partes que se comunican, con lo que la información que sólo es confiada al proveedor de identidad puede ser comprometida.

Los descubridores de la vulnerabilidad, Rui Wang, Shuo Chen y XiaoFeng Wang, se pusieron en contacto con todos los sitios afectados por dicho problema, quienes ya han emitido sus respectivos parches de seguridad.

Más Información:

Attribute Exchange Security Alert
http://openid.net/2011/05/05/attribute-exchange-security-alert/

Javier Rascón
http://www.hispasec.com/



Otras noticias de interes:

 ¿Es procedente el despido por navegar en horas de trabajo?
Se convierte esta en la pregunta del millón ya que, a día de hoy, no existe una respuesta única y excluyente que nos permita saber si el uso de Internet y del correo electrónico en el trabajo puede ser causa de despido.
 Internet Explorer expone componentes instalados
Una vulnerabilidad en el Internet Explorer 6.0 de Microsoft, permite a terceros comprobar los componentes instalados en la computadora del usuario, a través de documentos HTML construidos maliciosamente (requiere el acceso a un sitio web).
 En octubre estará disponible la certificación WI-Fi5
La WECA (Wireless Ethernet Compatibility Alliance) ha anunciado, aprovechando el marco del Networld +Interop Tokyo show, la próxima disponibilidad, en el mes de octubre, de las primeras certificaciones para puntos de acceso LAN sin cable y tarjetas basadas en el estándar IEEE802.11a o el estándar Wi-Fi5.
 Script PHP para el control de Scrim Counter Strike Source
Hace algún tiempo necesitabamos en el Clan (http://www.clan-mx.com) llevar un control de los scrim que organizabamos de esa forma podíamos saber que jugadores se desempeñaban mejor en determinado mapa.
 Black Hat: Inseguridad en cajeros basados en Windows CE
Hacker demuestra la notable inseguridad de algunos cajeros basados en Windows CE.

Indique que busca!!!


Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • fallo

  • seguridad

  • openid

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • internet

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • chrome

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql