Secuestro de sesiones en diversos productos IBM por problema con cookies
Se ha descubierto una vulnerabilidad en diversos productos IBM que, en ciertas circunstancias, podría ser explotada por usuarios maliciosos para secuestrar la sesión de un usuario autenticado.
Los productos afectados son los siguientes:
-Tivoli SecureWay Policy Director version 3.8
-IBM Tivoli Access Manager for e-business version 3.9, 4.1, y 5.1
-IBM Tivoli Access Manager Identity Manager Solution version 5.1
-IBM Tivoli Configuration Manager version 4.2
-IBM Tivoli Configuration Manager for Automated Teller Machines version 2.1.0
-IBM WebSphere Everyplace Server, Service Provider Offering for Multi-platforms version 2.1.3, 2.14, y 2.15
La vulnerabilidad se debe a un error en el tratamiento de las cookies empleadas para guardar información de la sesión cuando se conecta utilizando autenticación por formulario. La explotación con éxito de la vulnerabilidad daría acceso a recursos y datos restringidos o incluso control sobre la aplicación afectada.
Las direcciones para descargar los parches de actualización son las siguientes:
Tivoli SecureWay Policy Director 3.8 (WebSEAL)
Tivoli Access Manager for e-business 3.9 (WebSEAL)
Tivoli Access Manager for e-business 3.9 (Web Server Plug-in)
Tivoli Access Manager for e-business 4.1 (WebSEAL)
Tivoli Access Manager for e-business 4.1 (Web Server Plug-in)
Tivoli Access Manager for e-business 5.1 (WebSEAL)
Tivoli Access Manager for e-business 5.1 (Web Server Plug-in)
Tivoli Access Manager Identity Manager Solution 5.1 (WebSEAL o Web Server Plug-in)
Tivoli Access Manager Identity Manager Solution 5.1 (WebSEAL o Web Server Plug-in)
Tivoli Configuration Manager 4.2
Tivoli Configuration Manager for Automated Teller Machine 2.1.0
WebSphere Everyplace Server, Service Provider Offering for Multi-platforms 2.1.3, 2.1.4, 2.1.5