Protección insuficiente contra las llamadas a API no autorizadas en IBM Verify Gateway

Fecha de publicación:

24/07/2020

Importancia:

4 - Alta

Recursos afectados:

IBM Verify Gateway (IVG) RADIUS 1.0.0;
IBM Verify Gateway (IVG) PAM 1.0.0, 1.0.1;
IBM Verify Gateway (IVG) WinLogin 1.0.0, 1.0.1.

Descripción:

La protección insuficiente contra las llamadas a API no autorizadas en IBM Verify Gateway podría permitir a un atacante obtener un token de acceso y utilizarlo con fines maliciosos.

Solución:

Actualizar a las versiones:

IBM Security Verify Gateway para AIX PAM (Pluggable Authentication Modules) v1.0.1;
IBM Security Verify Gateway para Linux PAM (Pluggable Authentication Modules) v1.0.2;
IBM Security Verify Gateway para RADIUS v1.0.1;
IBM Security Verify Gateway para Windows Login v1.0.2.

Detalle:

Cuando los componentes del IBM Verify Gateway (IVG) hacen llamadas a la API, no hay suficiente protección. Esto podría permitir a un atacante obtener otros token de acceso y utilizarlos en otra llamada a la API realizando una suplantación.

Referencias:

Security Bulletin: IBM Verify Gateway does not sufficiently guard against unauthorized API calls (PSIRT-ADV0022379)

Etiquetas:

Actualización

IBM

Vulnerabilidad

Accesos corporativos

Protección insuficiente contra las llamadas a API no autorizadas en IBM Verify Gateway

Múltiples vulnerabilidades en productos de Intel

Vulnerabilidad en Citrix Hypervisor

Actualización de seguridad de SAP de agosto de 2022

Múltiples vulnerabilidades en VMware vRealize Operations

Actualizaciones de seguridad de Microsoft de agosto de 2022