Fallo de seguridad en OpenID
Se ha descubierto un fallo en la extensión ‘Attribute Exchange’ de
OpenID que podría permitir a un atacante remoto modificar la información
que es intercambiada entre las partes encargadas de la autenticación.
OpenID es un estándar de identificación digital descentralizado que
permite a sus usuarios utilizar una única cuenta para poder acceder a
diferentes sitios. Con esto se obtiene un mejor control de los datos
asociados a la cuenta, ya que se encuentran en un único punto. Además es
el proveedor del ID quien se encarga de identificar al usuario, evitando
así que la contraseña sea gestionada por los diferentes sitios a los que
se desea acceder.
El fallo se encuentra en los proveedores de OpenID que utilizaban
‘OpenID4Java’, que no verificaba si la información pasada a través de
Attribute Exchange estaba firmada o no. Esto podría ser aprovechado por
un atacante remoto modificar la información que es intercambiada entre
las distintas partes que se comunican, con lo que la información que
sólo es confiada al proveedor de identidad puede ser comprometida.
Los descubridores de la vulnerabilidad, Rui Wang, Shuo Chen y XiaoFeng
Wang, se pusieron en contacto con todos los sitios afectados por dicho
problema, quienes ya han emitido sus respectivos parches de seguridad.
Fuente
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.