Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
Systèmes affectés
- IBM Tivoli Federated Identity Manager Business Gateway versions 6.1.1, 6.2.0, 6.2.1 et 6.2.2
- IBM Tivoli Federated Identity Manager versions 6.1.1, 6.2.0, 6.2.1 et 6.2.2
Résumé
Deux vulnérabilités ont été corrigées dans IBM Tivoli Federated Identity Manager. L'une d'entre elles concerne l'implémentation du protocole OpenID dans le produit. Un attaquant peut modifier les attributs d'une assertion car les signatures ne sont pas vérifiées.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité IBM swg21615744 du 30 octobre 2012 http://www-01.ibm.com/support/docview.wss?uid=swg21615744
- Bulletin de sécurité IBM swg21615748 du 30 octobre 2012 http://www-01.ibm.com/support/docview.wss?uid=swg21615748
- Bulletin de sécurité IBM swg21615770 du 30 octobre 2012 http://www-01.ibm.com/support/docview.wss?uid=swg21615770
- Référence CVE CVE-2012-3313 https://www.cve.org/CVERecord?id=CVE-2012-3313
- Référence CVE CVE-2012-3315 https://www.cve.org/CVERecord?id=CVE-2012-3315
