IBM Tivoli Federated Identity Manager SAML aláírás érvényesítés biztonsági megkerüléses sérülékenység

CH azonosító

CH-6103

Angol cím

IBM Tivoli Federated Identity Manager SAML Signature Validation Security Bypass

Felfedezés dátuma

2011.12.13.

Súlyosság

Alacsony

Érintett rendszerek

IBM
Tivoli Federated Identity Manager
Tivoli Federated Identity Manager Business Gateway

Érintett verziók

IBM Tivoli Federated Identity Manager 6.x
IBM Tivoli Federated Identity Manager Business Gateway 6.x

Összefoglaló

Az IBM Tivoli Federated Identity Manager és IBM Tivoli Federated Identity Manager Business Gateway olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak bizonyos biztonsági szabályok megkerülésére.

Leírás

A sérülékenységet a SAML aláírások érvényesítésekor jelentkező hiba okozza és egy nem megfelelő SAML aláírással kihasználható az aláírás érvényesítés megkerülésére.

A sérülékenység sikeres kihasználható, amennyiben a SAML protokollok (SAML 1.0, 1.1, or 2.0) vagy Security Token Service modulok használatban vannak.

A sérülékenységet a 6.1.1., 6.2.0. és 6.2.1. verziókban ismerték fel.

Megoldás

Frissítsen a legújabb verzióra

Hivatkozások

Gyártói referencia: www.ibm.com
Gyártói referencia: www.ibm.com
Gyártói referencia: www.ibm.com
Gyártói referencia: www.ibm.com
SECUNIA 7218
CVE-2011-1386 - NVD CVE-2011-1386
Egyéb referencia: xforce.iss.net