Múltiples vulnerabilidades en Sentinel LDK de Gemalto

Fecha de publicación 06/06/2019
Importancia
3 - Media
Recursos Afectados
  • Sentinel LDK todas las versiones anteriores a 7.92
Descripción

El investigador Artem Zinenko de Kaspersky Lab ha reportado múltiples vulnerabilidades del tipo cookie sin atributo «HTTPOnly» y comunicaciones en texto claro que afectan a Sentinel LDK de Gemalto. Un atacante remoto podría realizar un ataque man-in-the-middle y reemplazar el paquete de idioma de la víctima o el robar la cookie del usuario.

Solución
  • Se recomienda actualizar Sentinel LDK a la versión 7.92 la cual soluciona estas vulnerabilidades.
Detalle
  • Cookie sin atributo «HTTPOnly»: la cookie «Hasplm» no posee el atributo «HTTPOnly» lo que podría permitir a un atacante el robo de la cookie mediante código javascript. Se ha reservado el identificador CVE-2019-8283 para esta vulnerabilidad.
  • Comunicaciones en texto claro: el software Gemalto Admin Control Center emplea comunicaciones en texto claro HTTP para comunicarse con www3.safenet-inc.com para obtener los paquetes de lenguaje. Esto podría permitir a un atacante realizar un ataque man-in-the-middle y reemplazar el paquete de lenguaje por uno malicioso. Se ha reservado el identificador CVE-2019-8282 para esta vulnerabilidad.

Encuesta valoraciĂ³n

Listado de referencias
KLCERT-19-029: Gemalto Admin Control Center uses cleartext communication with www3.safenet-inc.com
KLCERT-19-030: Hasplm cookie without HTTPOnly attribute
Etiquetas