Protección insuficiente contra las llamadas a API no autorizadas en IBM Verify Gateway

Fecha de publicación 24/07/2020
Importancia
4 - Alta
Recursos Afectados
  • IBM Verify Gateway (IVG) RADIUS 1.0.0;
  • IBM Verify Gateway (IVG) PAM 1.0.0, 1.0.1;
  • IBM Verify Gateway (IVG) WinLogin 1.0.0, 1.0.1.
Descripción

La protección insuficiente contra las llamadas a API no autorizadas en IBM Verify Gateway podría permitir a un atacante obtener un token de acceso y utilizarlo con fines maliciosos.

Solución

Actualizar a las versiones:

  • IBM Security Verify Gateway para AIX PAM (Pluggable Authentication Modules) v1.0.1;
  • IBM Security Verify Gateway para Linux PAM (Pluggable Authentication Modules) v1.0.2;
  • IBM Security Verify Gateway para RADIUS v1.0.1;
  • IBM Security Verify Gateway para Windows Login v1.0.2.
Detalle

Cuando los componentes del IBM Verify Gateway (IVG) hacen llamadas a la API, no hay suficiente protección. Esto podría permitir a un atacante obtener otros token de acceso y utilizarlos en otra llamada a la API realizando una suplantación.

Encuesta valoración

Listado de referencias
Security Bulletin: IBM Verify Gateway does not sufficiently guard against unauthorized API calls (PSIRT-ADV0022379)
Etiquetas