OpenID : vulnérabilité détectée mais pas exploitée

Une vulnérabilité liée à l'extension de service Attribute Exchange du système d'authentification Open Source a été découverte.

La fondation OpenID a alerté ses utilisateurs sur un bug critique concernant la V2 de sa technologie d'authentification unique Open Source. Toutes les implémentations ne sont pas concernées, mais uniquement celles utilisant l'extension de service Attribute Exchange (AX), une fonction qui permet aux sites d'échanger des informations entre plusieurs noeuds d'extrémité réseau.

"Pour les applications vulnérables, nous recommandons en premier lieu de modifier leur code pour accepter seulement les valeurs d'attributs signées", a indiqué un porte-parole de la fondation. Si aucune exploitation de vulnérabilité n'a pour l'heure été détectée, le bug de sécurité a touché les environnements de développement OpenID4Java et Kay Framework dont les librairies ont cependant été mises à jour pour éviter le pire.