Early Warning Bollettino VA-IT-131028-01.B



Documenti analoghi
Bollettino VA-IT A

Early Warning. Bollettino VA-IT A

Early Warning. Bollettino VA-IT A

Bollettino VA-IT A

Bollettino VA-IT A

Early Warning Bollettino VA-IT A

Bollettino VA-IT A

Bollettino VA-IT B

Bollettino VA-IT A

Early Warning Bollettino VA-IT A

Bollettino VA-IT A

Nota Vulnerabilità VN-IT A

Chat. Connettersi a un server di chat. Modificare le impostazioni di chat. Ricevere impostazioni chat. Chat

EUROCONSULTANCY-RE. Privacy Policy

Clausola espressa di esclusione della responsabilità del sito web

DOMANDA DI AMMISSIONE PREMIO UNIRSI PER L IMPRESA

Computer Emergency Response Team

PRIVACY POLICY SITO INTERNET

SEZIONE V TECNICHE DI COMUNICAZIONE A DISTANZA

UTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

Condividi in linea 2.0

Privacy Policy di

Progetto di Information Security

PRIVACY POLICY DEL SITO WEB

Questionario R.C. Società di Informatica

Condividi in linea 3.1. Edizione 1

TeamPortal. Servizi integrati con ambienti Gestionali

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

Ente Ospedaliero Specializzato in Gastroenterologia "Saverio de Bellis" Istituto di Ricovero e Cura a Carattere Scientifico

Identità certa nei processi online Identity & Service Provider SPID

CONTRATTO DI CONTO TASCABILE E SERVIZI DI PAGAMENTO: CONDIZIONI GENERALI

Stampa in linea 4.0. Edizione 1

COMUNE di EMPOLI Settore Lavori Pubblici AVVISO PUBBLICO

penetration test (ipotesi di sviluppo)

Scritto da Super Administrator Lunedì 08 Ottobre :55 - Ultimo aggiornamento Martedì 23 Aprile :27

All. 3 Termini per l utilizzo del servizio web e Allegato Tecnico per l accesso al Mercato Elettronico e suo utilizzo

Allegato A: Regole tecniche per la gestione dell identità.

NOTE TECNICHE allegate al MANUALE OPERATIVO ALLA CLIENTELA PER GLI ADEMPIMENTI VERSO DI ESSA PRESCRITTI IN MATERIA DI FIRMA ELETTRONICA AVANZATA

Andreani Tributi Srl. Titolare del Trattamento dei Dati. P.Iva Sede: Via Cluentina 33/D Macerata

Norme per l organizzazione - ISO serie 9000

TeamPortal. Infrastruttura

Condivisione in linea 2.0 Nokia N76-1

CORSO DI FORMAZIONE PER L'ACCESSO AI LABORATORI DELL'ATENEO COMPILAZIONE SCHEDA DI ACCESSO

Approvato dalla Giunta Provinciale nella seduta del 15 Febbraio 2006 O.d.G. n.10

Informativa Privacy Privacy Policy di

XTRADE CFD TRADING ONLINE

Orientamenti e raccomandazioni

CAPITOLO 20 AGGIORNAMENTO DEL CODICE DI STOCCAGGIO

Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione

Politica per la Sicurezza

GUIDA ALLA LETTURA DELL INFORMATIVA TITOLO

La normativa italiana

CONDIZIONI GENERALI DI LAVORO PRESSO GLI STABILIMENTI AGUSTAWESTLAND ITALIA

LE NUOVE DICHIARAZIONI D INTENTO: I CHIARIMENTI DELL AGENZIA DELLE ENTRATE E LA COMPILAZIONE DEL MOD. DI

Esperienze di analisi del rischio in proggeti di Information Security

TIPOLOGIE DI DATI RACCOLTI

Il trattamento dei dati e le misure minime di sicurezza nelle aziende

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

Mobile Security Suite

La sicurezza nei servizi online di Poste Italiane. Roma, 8 maggio 2006

Procedura automatizzata per la gestione del prestito - FLUXUS

Privacy Policy del sito Web meseum.network

Informativa ex art. 13 D.lgs. 196/2003

INFN Napoli NESSUS. IL Security Scanner. Francesco M. Taurino 1

Modalità e luogo del trattamento dei Dati raccolti Modalità di trattamento

NOTE LEGALI E PRIVACY

Programma Manager to Work. Programma di sviluppo del territorio per la crescita dell occupazione GUIDA PER LA PROCEDURA ON LINE

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

Prefettura di Milano Ufficio territoriale del Governo

Fiscal News N Bonus energetico: le semplificazioni. La circolare di aggiornamento professionale Premessa

I progetti di Ricerca e Sviluppo congiunti italo-israeliani possono essere presentati, nelle seguenti aree, come indicato nell Art.

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

Case Study Certificazione BS 7799

Domenico Ercolani Come gestire la sicurezza delle applicazioni web

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report

LA FORMAZIONE CONTINUA: NON SOLO UN OBBLIGO MA UNA OPPORTUNITA

GUIDA ALL'USO DELLA PIATTAFORMA WEB Modalità - Associazioni / Palestre Modalità - Federazioni / Enti di promozione

Requisiti di controllo dei fornitori esterni

Istruzione Operativa Richiesta di Offerta on-line in busta chiusa digitale

Le modalità di acquisizione del CIG nelle precisazioni dell Autorità di Vigilanza

Quadro normativo delle Regioni e Province Autonome sulla VAS LIGURIA. Disciplina della valutazione di impatto ambientale.

ELENCO PREZZI PER PRESTAZIONI NON COMPRESE NELLA TARIFFA DI DISTRIBUZIONE

PRIVACY POLICY DI digitaldictionary.it. Digital Dictionary Servizi s.r.l. Milano via Paleocapa 1, (MI) P.IVA/CF: REA: MI

SISTEMA DI GESTIONE PER LA QUALITA Capitolo 4

INFORMATIVA SULLA PRIVACY. In questa pagina si descrivono le modalità di gestione del sito in riferimento al

CONDIZIONI DEFINITIVE della NOTA INFORMATIVA BANCA DI CESENA OBBLIGAZIONI A TASSO FISSO. Isin IT

Modalità e luogo del trattamento dei Dati raccolti Modalità di trattamento

Domande e risposte su Avira ProActiv Community

Light CRM. Documento Tecnico. Descrizione delle funzionalità del servizio

REGOLAMENTO RELATIVO ALL ACCESSO MEDIANTE VPN AI CENTRI SERVIZI DI INNOVAPUGLIA

PROGRAMMA CORSI PRIVACY 2013

Privacy Policy di SelfScape

Gestire le NC, le Azioni Correttive e Preventive, il Miglioramento

Manuale di Aggiornamento BOLLETTINO. Rel H4. DATALOG Soluzioni Integrate a 32 Bit

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, Roma Tel: , Fax:

Informativa sulla privacy

CONSERVAZIONE SOSTITUTIVA

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it

Transcript:

Early Warning Bollettino VA-IT-131028-01.B

Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-131028-01.B Pag. 2/6

P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI GENERALI DELLA VULNERABILITÀ TITOLO Reflected Cross Site Scripting in CA SiteMinder Data Pubblicazione 02/12/2013 Data di pubblicazione della vulnerabilità. PI-CERT ID VA-IT-131028-01.B Identificativo della vulnerabilità del CERT di Poste Italiane. CVE ID CVE-2013-5968 Identificativo CVE 1 della vulnerabilità. STANDARD CVSS V2 METRICHE BASE DELLA VULNERABILITA (CVSS V2 BASE 2 ) Base Score Access Vector Access Complexity 5.0 NETWORK LOW Indicatore di pericolosità complessiva della vulnerabilità secondo lo standard CVSS v.2 3 (scala da 0 a 10). Lo sfruttamento di questa vulnerabilità è possibile da qualunque rete collegata al sistema affetto. Lo sfruttamento di questa vulnerabilità non implica la compromissione ti altri sistemi o l utilizzo di specifici schemi d attacco. Authentication NONE Non è richiesta alcun tipo di autenticazione. Confidentiality Impact Integrity Impact PARTIAL NONE Sebbene questa vulnerabilità ha un impatto parziale sulla riservatezza a livello sistemistico, in un contesto bancario potrebbe ritenersi altamente critica. Questa vulnerabilità non ha impatto sull Integrità dei dati. Availability Impact NONE Questa vulnerabilità non ha impatto sulla disponibilità. METRICHE TEMPORALI DELLA VULNERABILITA (CVSS V2 TEMPORAL 4 ) Temporal Score Exploitability Remediation Level Report Confidence 4.0 UNPROVEN WORKAROUND CONFIRMED Indicatore di minaccia della vulnerabilità che può mutare nel tempo (scala da 0 a 10). E stato reso noto un proof of concept solo a livello privato. Sono presenti dei workaround specifici per la copertura della vulnerabilità. Le informazioni e i dettagli tecnici sulla vulnerabilità, sono confermati da più fonti e dal vendor stesso. Per maggiori informazioni sui campi compilati si rimanda alla pagina della Guida alla corretta lettura della scheda riassuntiva. 1 CVE (Common Vulnerabilities and Exposures): Elenco di vulnerabilità fornita dal MITRE Corporation al fine di standardizzare i nomi e le caratteristiche delle vulnerabilità. 2 Il gruppo "Base" dello standard CVSS v2 rappresenta l insieme delle caratteristiche intrinseche della vulnerabilità. 3 CVSS (Common Vulnerabilities Scoring System): Metodologia per il calcolo della severità delle vulnerabilità. 4 Il gruppo "Temporal" dello standard CVSS v2 rappresenta l insieme delle caratteristiche della vulnerabilità che mutano nel tempo. Early Warning - Bollettino VA-IT-131028-01.B Pag. 3/6

DESCRIZIONE DEL PRODOTTO SiteMinder di CA è un sistema di gestione delle identià che controlla l accesso alle risorse offerte sul WEB, fornendo servizi di gestione dell autenticazione, autorizzazioni basate su policy, single sign-on, auditing e reporting, etc. INFORMAZIONI TECNICHE Un ricercatore di sicurezza informatica americano, Zachary Pritchard del team Cigital, ha trovato un possibile cross site scripting (XSS) di tipo reflected su CA SiteMinder. La vulnerabilità è stata resa pubblica il 24 ottobre 2013 dal direttore Kevin Kotas di CA Technologies Product Vulnerability Response Team, indicando la sua mitigazione senza però entrare nel dettaglio del bug di programmazione. La vulnerabilità può potenzialmente consentire ad un attaccante remoto, senza autenticazione, l'esecuzione di script nel contesto del dominio SiteMinder che verrà iniettato nella pagina ed eseguito lato client. La possibile perdita di dati ad esempio, può coinvolgere le credenziali di accesso, tramite un modulo contraffatto sovrapposto al modulo originale. MITIGAZIONE Per la correzione del problema, il produttore raccomanda dei workaround e dei fix specifici, disponibili sul sito: https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentid={9b8e7a8a-2a00-4456-a7cc- 8C2E74AA7EA5} SISTEMI VULNERABILI CA SiteMinder 12.51 CA SiteMinder 12.5 CA SiteMinder 12.0 CA SiteMinder 6 Web Agents Early Warning - Bollettino VA-IT-131028-01.B Pag. 4/6

BOLLETTINI CORRELATI NON DISPONIBILI RIFERIMENTI Interni: NON DISPONIBILI Esterni: http://seclists.org/bugtraq/2013/oct/122 http://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2013-5968 http://www.osvdb.org/show/osvdb/98919 https://support.ca.com/irj/portal/anonymous/phpsbpldgpg http://web.nvd.nist.gov/view/vuln/detail?vulnid=cve-2013-5968 Espliciti del produttore: https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentid={9b8e7a8a-2a00-4456-a7cc- 8C2E74AA7EA5} Early Warning - Bollettino VA-IT-131028-01.B Pag. 5/6

Termini e condizioni di utilizzo del bollettino Le informazioni contenute nel presente bollettino sono fornite così come sono, a meri fini informativi. In nessun caso il CERT Poste Italiane può essere ritenuto responsabile di qualunque perdita, pregiudizio, responsabilità, costo, onere o spesa, ivi comprese le eventuali spese legali, danno diretto, indiretto, incidentale o consequenziale, derivante da o connesso alle informazioni riportate nel presente bollettino. La versione.pdf del bollettino è statica ed, in quanto tale, contiene le informazioni disponibili al momento della pubblicazione. Per definire al meglio le vulnerabilità, le operazioni svolte dal CERT di Poste Italiane necessitano di scelte ben precise riguardo le minacce da considerare, le fonti di informazione ritenute più autorevoli e competenti in materia, le modalità di filtraggio delle informazioni, la valutazione della severity come metrica di base. Con particolare riferimento a quest ultima - da intendersi quale livello di pericolosità della vulnerabilità delle componenti di sistema o delle piattaforme - il CERT di Poste Italiane provvede a rivalutare i parametri che concorrono al calcolo della Base Score e Temporal Score secondo lo standard CVSS v.2 (Common Vulnerabilities Scoring System) e conseguentemente ad attribuire il proprio rating, avvalendosi del tool messo a disposizione dal sito del National Institute of Standards and Technology (http://nvd.nist.gov/cvss.cfm). La diffusione, comunicazione, riproduzione, copia con qualsiasi mezzo delle informazioni contenute nel presente bollettino sono rigorosamente vietate. Non è consentito rivelare o comunicare in alcun modo a terzi tali informazioni, se non previa autorizzazione scritta del CERT di Poste Italiane. E obbligatorio adottare ogni precauzione necessaria ad impedire i rischi di accesso non autorizzato, uso non consentito o indebita appropriazione di tali informazioni da parte di soggetti, terzi o meno, non autorizzati. Eventuali delucidazioni sui contenuti del presente bollettino possono essere richiesti via e-mail al CERT di Poste Italiane all indirizzo: certew@posteitaliane.it Early Warning - Bollettino VA-IT-131028-01.B Pag. 6/6

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back