Fallo de seguridad en OpenID - xombra.com



Se ha descubierto un fallo en la extensión Attribute Exchange de OpenID que podría permitir a un atacante remoto modificar la información que es intercambiada entre las partes encargadas de la autenticación.

OpenID es un estándar de identificación digital descentralizado que permite a sus usuarios utilizar una única cuenta para poder acceder a diferentes sitios. Con esto se obtiene un mejor control de los datos asociados a la cuenta, ya que se encuentran en un único punto. Además es el proveedor del ID quien se encarga de identificar al usuario, evitando así que la contraseña sea gestionada por los diferentes sitios a los que se desea acceder.

El fallo se encuentra en los proveedores de OpenID que utilizaban 'OpenID4Java', que no verificaba si la información pasada a través de Attribute Exchange estaba firmada o no. Esto podría ser aprovechado por un atacante remoto modificar la información que es intercambiada entre las distintas partes que se comunican, con lo que la información que sólo es confiada al proveedor de identidad puede ser comprometida.

Los descubridores de la vulnerabilidad, Rui Wang, Shuo Chen y XiaoFeng Wang, se pusieron en contacto con todos los sitios afectados por dicho problema, quienes ya han emitido sus respectivos parches de seguridad.

Más Información:

Attribute Exchange Security Alert
http://openid.net/2011/05/05/attribute-exchange-security-alert/

Javier Rascón
http://www.hispasec.com/


Guardar publicación en PDF

Otras noticias de interes:

 Apache lanza Hadoop 1.0
Hadoop 1.0 es la primera versión oficial de la plataforma para el análisis de los big data de la Apache Software Foundation, lo que demuestra que ya está preparada para el entorno empresarial.
 Microsoft anuncia doce boletines de seguridad para el próximo martes 13 de junio
Como parte de su ciclo mensual de liberación de actualizaciones de seguridad, Microsoft anunció que el próximo martes 13 de junio publicará 12 boletines, la mayoría críticos.
 Core Security descubre una vulnerabilidad crítica en el software de virtualización de escritorio de VMware
Su explotación podría otorgar un acceso completo al sistema de archivos del dispositivo anfitrión. Core Security Technologies publica una advertencia de seguridad que revela una vulnerabilidad capaz de impactar severamente en empresas que utilizan el software de virtualización de escritorio de VMware. Este descubrimiento demuestra que miles de compañías con sistemas virtualizados pueden estar exponiendo, sin saberlo, información crítica, que de lo contrario buscarían proteger. Core Security también liberó un exploit para esta vulnerabilidad, permitiendo a los clientes validar que existe, que puede ser explotada y evaluar de manera segura las consecuencias de una intrusión a la red.
 Genbeta.com - Meneame.net y Error500.net atacadas por avisar del timo de ¿Quieres saber quién no te admite en el messenger?
Estos sitios fueron atacados por publicar: ¿Quieres saber quién te tiene no admitido/eliminado en el MSN? Pues no des tu contraseña a desconocidos
 Radware advierte ataques DDoS
Las acciones de los hacktivist, los hackers que buscan cambios sociales o económicos, podrían incrementarse en un futuro cercano. Una investigación sobre los ataques DDoS realizados por hacktivist en los últimos meses ha llevado a Radware a avisar a instituciones financieras, empresas de servicios públicos e ISPs, de que estén alerta ante posibles ataques a sus páginas web en un futuro cercano.

Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • fallo

  • seguridad

  • openid

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • internet

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • chrome

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql