Cross-Site-Scripting-Lücke in VeriSigns Managed PKI
Durch eine fehlende Überprüfung von Benutzereingaben in der serverseitigen CGI-Komponente haydn.exe in VeriSigns Managed-PKI-Software könnten Angreifer eine Cross-Site-Scripting-Attacke durchführen.
Durch eine fehlende Überprüfung von Benutzereingaben in der serverseitigen CGI-Komponente haydn.exe in VeriSigns Managed-PKI-Software könnten Angreifer eine Cross-Site-Scripting-Attacke durchführen. Die Managed PKI dient zum Beantragen und Ausliefern, Zurückweisen sowie Überprüfen von Zertifikaten. Durch Einbauen von (JavaScript-)Code in die übergebene URL etwa in einer E-Mail könnte so Code im Browser des Benutzers im Sicherheitskontext der Webseite ausgeführt werden. Da sie zur Prüfung von Zertifikaten dient, dürfte der Vertrauensstatus der Seite hoch sein.
Ein Angreifer könnte mit Hilfe einer E-Mail und einer von ihm kontrollierten, bösartigen Webseite durch die Lücke an den Anwender falsche Ergebnisse von Zertifikatsprüfungen übermitteln. Auch das Ausspähen von Zugangsdaten mittels Cookie-Diebstahl ist möglich, ebenso das Einsehen von vor Kurzem übermittelten, möglicherweise vertraulichen Daten. Betroffen von der Schwachstelle ist die Managed-PKI-Software in Version 6.0. Als temporäre Problemlösung wird in der Sicherheitsmeldung von Core Security vorgeschlagen, die Datei fdf_noHTMLFile.html im /htmldocs/-Verzeichnis der Software-Installation anzulegen.
Siehe dazu auch: (dmk)
- Cross-Site Scripting in Verisign’s haydn.exe CGI script, Sicherheitsmeldung von Core Security
