Podatność CVE-2012-6359
Publikacja: 2013-01-18   Modyfikacja: 2013-01-19

Opis:
IBM Tivoli Federated Identity Manager (TFIM) 6.2.0 before 6.2.0.11, 6.2.1 before 6.2.1.3, and 6.2.2 before 6.2.2.2 and Tivoli Federated Identity Manager Business Gateway (TFIMBG) 6.2.0 before 6.2.0.11, 6.2.1 before 6.2.1.3, and 6.2.2 before 6.2.2.2 do not check whether an OpenID attribute is signed in the (1) SREG (aka simple registration extension) and (2) AX (aka attribute exchange extension) cases, which allows man-in-the-middle attackers to spoof OpenID provider data by inserting unsigned attributes.

CVSS2 => (AV:N/AC:M/Au:N/C:N/I:P/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
4.3/10
2.9/10
8.6/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Brak
Częściowy
Brak
Affected software
IBM -> Tivoli federated identity manager 
IBM -> Tivoli federated identity manager business gateway 

 Referencje:
http://xforce.iss.net/xforce/xfdb/77790
http://www.securityfocus.com/bid/56390
http://www-01.ibm.com/support/docview.wss?uid=swg21615748
http://www-01.ibm.com/support/docview.wss?uid=swg21615744
http://www-01.ibm.com/support/docview.wss?uid=swg1IV23453
http://www-01.ibm.com/support/docview.wss?uid=swg1IV23452
http://www-01.ibm.com/support/docview.wss?uid=swg1IV23451
http://secunia.com/advisories/51212
Copyright 2024, cxsecurity.com

 

Back to Top