jueves, 8 de abril de 2004

Revelación de información sensible en Citrix Metaframe Password Manager

Se ha descubierto una vulnerabilidad en Citrix MetaFrame Password
Manager 2.0 que puede revelar información sensible sobre la
autenticación a usuarios maliciosos.

MetaFrame Password Manager es una solución para acceder a aplicaciones
protegidas con clave en el entorno de Citrix MetaFrame Access Suite u
otros clientes.

El problema reside en que el objeto de cifrado del almacenamiento
de credenciales puede ser inicializado incorrectamente con el asistente
"First Time Use". Esto provoca que las claves de aplicación introducidas
inmediatamente después de completar dicho asistente serán
codificadas pero no cifradas. El problema por lo tanto solo existirá
si el administrador no ha configurado el agente para que utilice una
central de almacenamiento de credenciales.

Los desarrolladores han publicado una actualización (con código
MPME100W001), disponible en la siguiente dirección:
http://support.citrix.com/kb/entry.jspa?entryID=4062


Julio Canto
jcanto@hispasec.com


Más información:

Citrix (Application Passwords Entered Immediately After The First Time
Use Wizard May Not Be Correctly Encrypted):
http://support.citrix.com/kb/entry.jspa?entryID=4063&categoryID=254

Foundstone:
http://www.foundstone.com/products/sa/fs-sa-04-05-04.pdf