forum.opennet.ru

Составление сообщения

Исходное сообщение

"В сервисе аутентификации Mozilla Persona выявлены проблемы с..."
Отправлено opennews, 02-Окт-13 23:38

В развиваемом проектом Mozilla распределённом сервисе идентификации пользователей Persona выявлена (https://blog.mozilla.org/security/2013/10/02/bug-bounty-prog.../) уязвимость, позволяющая злоумышленнику подделать факт верификации email и выполнить вход от имени любого адреса сервисов Gmail и Yahoo Mail, для которых поддерживается использование OpenID для подтверждения валидности пользователя. Уязвимость была выявлена в рамках программы "Bug Bounty Program" и не была публично оглашена до устранения проблемы. Persona позволяет пользователям авторизоваться на любом веб-сайте, используя email, который должн быть предварительно подтверждён владельцем, для чего в том числе поддерживается использование протокола OpenID.
Причина уязвимости кроется (https://blog.mozilla.org/security/2013/10/02/learning-from-a.../) в особенностях верификации с использованием OpenID и проявляется только для сервисов, для которых поддерживается подтверждение по данному протоколу (на данным момент только Gmail и Yahoo Mail). В частности, для проверки корректности привязки email к заявленному аккаунту используется цифровая подпись. Подразумевается, что цифровая подпись охватывает поле с email, но упускается, что допустимо указание произвольных полей для проверки по цифровой подписи.

Таким образом, атакующий может сформировать цифровую подпись, не охватывающую email, после чего подменить указанный в параметрах верификации адрес. После смены адреса цифровая подпись останется корректной и многие популярные OpenID-библиотеки, явным образом не проверяющие наличие поля с email в числе охватываемых цифровой подписью полей, будут считать запрос с фиктивным email прошедшим верификацию.

Второй вектор атаки связан с особенностью извлечения значений полей OpenID. Например, атакующий может путём спуфинга подставить в начало корректно верифицированного запроса дополнительное поле "openid.foo.value.email: victim@gmail.com". Несмотря на то, что цифровая подпись будет корректно сформирована для изначально указанного поля "openid.ext1.value.email: example@gmail.com", многие OpenID-библиотеки извлекут email из поля, указанного первым, несмотря на то, что оно не охватывается цифровой подписью.
URL: https://blog.mozilla.org/security/2013/10/02/bug-bounty-prog.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=38061

Исходное сообщение
"В сервисе аутентификации Mozilla Persona выявлены проблемы с..." Отправлено opennews, 02-Окт-13 23:38
В развиваемом проектом Mozilla распределённом сервисе идентификации пользователей Persona выявлена (https://blog.mozilla.org/security/2013/10/02/bug-bounty-prog.../) уязвимость, позволяющая злоумышленнику подделать факт верификации email и выполнить вход от имени любого адреса сервисов Gmail и Yahoo Mail, для которых поддерживается использование OpenID для подтверждения валидности пользователя. Уязвимость была выявлена в рамках программы "Bug Bounty Program" и не была публично оглашена до устранения проблемы. Persona позволяет пользователям авторизоваться на любом веб-сайте, используя email, который должн быть предварительно подтверждён владельцем, для чего в том числе поддерживается использование протокола OpenID. Причина уязвимости кроется (https://blog.mozilla.org/security/2013/10/02/learning-from-a.../) в особенностях верификации с использованием OpenID и проявляется только для сервисов, для которых поддерживается подтверждение по данному протоколу (на данным момент только Gmail и Yahoo Mail). В частности, для проверки корректности привязки email к заявленному аккаунту используется цифровая подпись. Подразумевается, что цифровая подпись охватывает поле с email, но упускается, что допустимо указание произвольных полей для проверки по цифровой подписи. Таким образом, атакующий может сформировать цифровую подпись, не охватывающую email, после чего подменить указанный в параметрах верификации адрес. После смены адреса цифровая подпись останется корректной и многие популярные OpenID-библиотеки, явным образом не проверяющие наличие поля с email в числе охватываемых цифровой подписью полей, будут считать запрос с фиктивным email прошедшим верификацию. Второй вектор атаки связан с особенностью извлечения значений полей OpenID. Например, атакующий может путём спуфинга подставить в начало корректно верифицированного запроса дополнительное поле "openid.foo.value.email: victim@gmail.com". Несмотря на то, что цифровая подпись будет корректно сформирована для изначально указанного поля "openid.ext1.value.email: example@gmail.com", многие OpenID-библиотеки извлекут email из поля, указанного первым, несмотря на то, что оно не охватывается цифровой подписью. URL: https://blog.mozilla.org/security/2013/10/02/bug-bounty-prog.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=38061

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В развиваемом проектом Mozilla распределённом сервисе идентификации пользователей Persona 
> выявлена (https://blog.mozilla.org/security/2013/10/02/bug-bounty-program-finds-and-helps-resolve-security-vulnerability-in-persona/) 
> уязвимость, позволяющая злоумышленнику подделать факт верификации email и выполнить вход 
> от имени любого адреса сервисов Gmail и Yahoo Mail, для которых 
> поддерживается использование OpenID  для подтверждения валидности пользователя.  Уязвимость 
> была выявлена в рамках программы "Bug Bounty Program" и не была 
> публично оглашена до устранения проблемы. Persona позволяет пользователям авторизоваться 
> на любом веб-сайте, используя email, который должн быть предварительно подтверждён владельцем, 
> для чего в том числе поддерживается использование протокола OpenID.

> Причина уязвимости кроется (https://blog.mozilla.org/security/2013/10/02/learning-from-a-recent-security-vulnerability-in-persona/) 
> в особенностях верификации с использованием OpenID и проявляется только для сервисов, 
> для которых поддерживается подтверждение по данному протоколу (на данным момент только 
> Gmail и Yahoo Mail). В частности, для проверки корректности привязки email 
> к заявленному аккаунту используется цифровая подпись. Подразумевается, что цифровая подпись 
> охватывает поле с email, но упускается, что допустимо указание произвольных полей 
> для проверки по цифровой подписи.

> Таким образом, атакующий может сформировать цифровую подпись, не охватывающую email, после 
> чего подменить указанный в параметрах верификации адрес. После смены адреса цифровая 
> подпись останется корректной и многие популярные OpenID-библиотеки, явным образом не проверяющие 
> наличие поля с email в числе охватываемых цифровой подписью полей, будут 
> считать запрос с фиктивным email прошедшим верификацию.

> Второй вектор атаки связан с особенностью извлечения значений полей OpenID. Например, атакующий 
> может путём спуфинга подставить в начало корректно верифицированного запроса дополнительное 
> поле  "openid.foo.value.email: victim@gmail.com". Несмотря на то, что цифровая подпись 
> будет корректно сформирована для изначально указанного поля "openid.ext1.value.email: 
> example@gmail.com", многие OpenID-библиотеки извлекут email из поля, указанного первым, 
> несмотря на то, что оно не охватывается цифровой подписью.

> URL: https://blog.mozilla.org/security/2013/10/02/bug-bounty-program-finds-and-helps-resolve-security-vulnerability-in-persona/ 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=38061

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру