Se ha descubierto un fallo en la extensión ‘Attribute Exchange’ de
OpenID que podría permitir a un atacante remoto modificar la información
que es intercambiada entre las partes encargadas de la autenticación.
OpenID es un estándar de identificación digital descentralizado que
permite a sus usuarios utilizar una única cuenta para poder acceder a
diferentes sitios. Con esto se obtiene un mejor control de los datos
asociados a la cuenta, ya que se encuentran en un único punto. Además es
el proveedor del ID quien se encarga de identificar al usuario, evitando
así que la contraseña sea gestionada por los diferentes sitios a los que
se desea acceder.
El fallo se encuentra en los proveedores de OpenID que utilizaban
‘OpenID4Java’, que no verificaba si la información pasada a través de
Attribute Exchange estaba firmada o no. Esto podría ser aprovechado por
un atacante remoto modificar la información que es intercambiada entre
las distintas partes que se comunican, con lo que la información que
sólo es confiada al proveedor de identidad puede ser comprometida.
Los descubridores de la vulnerabilidad, Rui Wang, Shuo Chen y XiaoFeng
Wang, se pusieron en contacto con todos los sitios afectados por dicho
problema, quienes ya han emitido sus respectivos parches de seguridad.
Attribute Exchange Security Alert
http://openid.net/2011/05/05/
Via: HIspasec