Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Sentinel LDK de Gemalto

Múltiples vulnerabilidades en Sentinel LDK de Gemalto

Fecha de publicación: 
06/06/2019
Importancia: 
3 - Media
Recursos afectados: 
  • Sentinel LDK todas las versiones anteriores a 7.92
Descripción: 

El investigador Artem Zinenko de Kaspersky Lab ha reportado múltiples vulnerabilidades del tipo cookie sin atributo «HTTPOnly» y comunicaciones en texto claro que afectan a Sentinel LDK de Gemalto. Un atacante remoto podría realizar un ataque man-in-the-middle y reemplazar el paquete de idioma de la víctima o el robar la cookie del usuario.

Solución: 
  • Se recomienda actualizar Sentinel LDK a la versión 7.92 la cual soluciona estas vulnerabilidades.
Detalle: 
  • Cookie sin atributo «HTTPOnly»: la cookie «Hasplm» no posee el atributo «HTTPOnly» lo que podría permitir a un atacante el robo de la cookie mediante código javascript. Se ha reservado el identificador CVE-2019-8283 para esta vulnerabilidad.
  • Comunicaciones en texto claro: el software Gemalto Admin Control Center emplea comunicaciones en texto claro HTTP para comunicarse con www3.safenet-inc.com para obtener los paquetes de lenguaje. Esto podría permitir a un atacante realizar un ataque man-in-the-middle y reemplazar el paquete de lenguaje por uno malicioso. Se ha reservado el identificador CVE-2019-8282 para esta vulnerabilidad.

Encuesta valoraciĂ³n