Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Vulnerabilidades / Secuestro de sesiones en diversos productos IBM por problema con cookies

Secuestro de sesiones en diversos productos IBM por problema con cookies

Por Leave a Comment

Se ha descubierto una vulnerabilidad en diversos productos IBM que,
en ciertas circunstancias, podría ser explotada por usuarios maliciosos
para secuestrar la sesión de un usuario autenticado.

Los productos afectados son los siguientes:
* Tivoli SecureWay Policy Director version 3.8
* IBM Tivoli Access Manager for e-business version 3.9, 4.1, y 5.1
* IBM Tivoli Access Manager Identity Manager Solution version 5.1
* IBM Tivoli Configuration Manager version 4.2
* IBM Tivoli Configuration Manager for Automated Teller Machines
version 2.1.0
* IBM WebSphere Everyplace Server, Service Provider Offering for
Multi-platforms version 2.1.3, 2.14, y 2.15

La vulnerabilidad se debe a un error en el tratamiento de las cookies
empleadas para guardar información de la sesión cuando se conecta
utilizando autenticación por formulario. La explotación con éxito de la
vulnerabilidad daría acceso a recursos y datos restringidos o incluso
control sobre la aplicación afectada.

Las direcciones para descargar los parches de actualización son las
siguientes:

Tivoli SecureWay Policy Director 3.8 (WebSEAL)
http://www-1.ibm.com/support/docview.wss?uid=swg24006478

Tivoli Access Manager for e-business 3.9 (WebSEAL)
http://www-1.ibm.com/support/docview.wss?uid=swg24006460

Tivoli Access Manager for e-business 3.9 (Web Server Plug-in)
http://www-1.ibm.com/support/docview.wss?uid=swg24006535

Tivoli Access Manager for e-business 4.1 (WebSEAL)
http://www-1.ibm.com/support/docview.wss?uid=swg24006273

Tivoli Access Manager for e-business 4.1 (Web Server Plug-in)
http://www-1.ibm.com/support/docview.wss?uid=swg24006534

Tivoli Access Manager for e-business 5.1 (WebSEAL)
http://www-1.ibm.com/support/docview.wss?uid=swg24006477

Tivoli Access Manager for e-business 5.1 (Web Server Plug-in)
http://www-1.ibm.com/support/docview.wss?uid=swg24006533

Tivoli Access Manager Identity Manager Solution 5.1 (WebSEAL o Web
Server Plug-in)
http://www-1.ibm.com/support/docview.wss?uid=swg24006477
http://www-1.ibm.com/support/docview.wss?uid=swg24006533

Tivoli Configuration Manager 4.2
http://www-1.ibm.com/support/docview.wss?uid=swg21169105

Tivoli Configuration Manager for Automated Teller Machine 2.1.0
http://www-1.ibm.com/support/docview.wss?uid=swg21169105

WebSphere Everyplace Server, Service Provider Offering for
Multi-platforms 2.1.3, 2.1.4, 2.1.5
http://www-306.ibm.com/software/pervasive/ws_everyplace_server/support/

Julio Canto
jcanto@hispasec.com

Más información:

Potential Credential Impersonation Attack
http://www-1.ibm.com/support/docview.wss?uid=swg21168762

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.