Protección insuficiente contra las llamadas a API no autorizadas en IBM Verify Gateway

Fecha de publicación

24/07/2020

Importancia

4 - Alta

Recursos Afectados

IBM Verify Gateway (IVG) RADIUS 1.0.0;
IBM Verify Gateway (IVG) PAM 1.0.0, 1.0.1;
IBM Verify Gateway (IVG) WinLogin 1.0.0, 1.0.1.

Descripción

La protección insuficiente contra las llamadas a API no autorizadas en IBM Verify Gateway podría permitir a un atacante obtener un token de acceso y utilizarlo con fines maliciosos.

Solución

Actualizar a las versiones:

IBM Security Verify Gateway para AIX PAM (Pluggable Authentication Modules) v1.0.1;
IBM Security Verify Gateway para Linux PAM (Pluggable Authentication Modules) v1.0.2;
IBM Security Verify Gateway para RADIUS v1.0.1;
IBM Security Verify Gateway para Windows Login v1.0.2.

Detalle

Cuando los componentes del IBM Verify Gateway (IVG) hacen llamadas a la API, no hay suficiente protección. Esto podría permitir a un atacante obtener otros token de acceso y utilizarlos en otra llamada a la API realizando una suplantación.

Listado de referencias

Security Bulletin: IBM Verify Gateway does not sufficiently guard against unauthorized API calls (PSIRT-ADV0022379)

Etiquetas