IBM Tivoli Access Manager for Enterprise Single Sign-On információ szivárgásos sérülékenység

CH azonosító

CH-2441

Felfedezés dátuma

2009.08.27.

Súlyosság

Alacsony

Érintett rendszerek

IBM
Tivoli Access Manager for Enterprise Single Sign-On

Érintett verziók

IBM Tivoli Access Manager for Enterprise Single Sign-On 8.x

Összefoglaló

Az IBM ismertette a Tivoli Acces Manager for Enterprise Single Sing-On néhány sérülékenységét, amelyet a támadók kihasználhatnak bizalmas információk feltárásához.

Leírás

Az IBM ismertette a Tivoli Acces Manager for Enterprise Single Sing-On néhány sérülékenységét, amelyet a támadók kihasználhatnak bizalmas információk feltárásához.

A sebezhetőségeket az Apache Tomcat hibái okozzák. Egy egyszeres idézőjelet (‘) vagy egy ” karaktersorozatot tartalmazó cookie érték nincs megfelelően kezelve. Ezt kihasználva bizalmas információkhoz pl. a munkafolyamat azonosítóhoz lehet hozzáférni.

A sérülékenységeket a 8.0.1 verziónál jelentettek, de más verziók is érintettek lehetnek.

Megoldás

Szűrje ki a rosszindulatú karaktereket és karaktersorozatokat egy webproxyval!
A sérülékenységek, várhatóan a 8.0.1 Fixpack 1-ben kerülnek javításra.