Vulnerabilidad en diversos productos Websense fueron anunciados y que podrían permitir a un atacante obtener las credenciales del resto de usuarios en texto plano.

El problema ha sido detectado inicialmente en Websense Triton Unified Security Center 7.7.3 sin embargo Websense confirma que también afecta a: 

  *  Web Security Gateway Anywhere v7.7.3 Hotfix 31
 
  *  Web Security Gateway v7.7.3 Hotfix 31
 
  *  Websense Web Security v7.7.3 Hotfix 31
 
  *  Websense Web Filter v7.7.3 Hotfix 31
 
  *  Windows and Websense V-Series appliances 
 
 
El problema (con CVE-2014-0347) reside en que al autenticarse en el servicio con cualquier nivel de permisos, es posible consultar las opciones "Log Database" o "User Directories" del módulo "Settings". En cualquier sección es posible emplear un navegador para "Inspect Elements" en la página. 
 
Los bloques de contraseñas están inicialmente ocultos en la página con el siguiente campo de formulario: 
<input type="password" id="logDatabaseSettings:password" name ="logDatabaseSettings:password" maxlength="50" size="21"> 
 
Sin embargo, debido a la inadecuada construcción de la página y de la ocultación de codificación de credenciales es posible cambiar la entrada por lo siguiente y recargar la página: 
<input type="text" id="logDatabaseSettings:password" name ="logDatabaseSettings:password" maxlength="50" size="21"> 
 
Lo que permitirá que las contraseñas se muestren en texto plano, junto con el nombre de usuario asociado. 
 
Websense ha publicado versiones actualizadas de los productos afectados.
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2014/04/revelacion-de-credenciales-en-productos.html#comments
 
Más información:
 
Vulnerability Note VU#568252
Websense Triton Unified Security Center 7.7.3 information disclosure vulnerability
http://www.kb.cert.org/vuls/id/568252
 
Websense V7.7.3 HF31 Manager Password Vulnerability issue
https://www.websense.com/content/mywebsense-hotfixes.aspx?patchid=894&prodidx=20&osidx=0&intidx=0&versionidx=0

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar