Secuestro de sesiones en diversos productos IBM por problema con cookies

Los productos afectados son los siguientes:

-Tivoli SecureWay Policy Director version 3.8

-IBM Tivoli Access Manager for e-business version 3.9, 4.1, y 5.1

-IBM Tivoli Access Manager Identity Manager Solution version 5.1

-IBM Tivoli Configuration Manager version 4.2

-IBM Tivoli Configuration Manager for Automated Teller Machines version 2.1.0

-IBM WebSphere Everyplace Server, Service Provider Offering for Multi-platforms version 2.1.3, 2.14, y 2.15

La vulnerabilidad se debe a un error en el tratamiento de las cookies empleadas para guardar información de la sesión cuando se conecta utilizando autenticación por formulario. La explotación con éxito de la vulnerabilidad daría acceso a recursos y datos restringidos o incluso control sobre la aplicación afectada.

Las direcciones para descargar los parches de actualización son las siguientes:

Tivoli SecureWay Policy Director 3.8 (WebSEAL)

Tivoli Access Manager for e-business 3.9 (WebSEAL)

Tivoli Access Manager for e-business 3.9 (Web Server Plug-in)

Tivoli Access Manager for e-business 4.1 (WebSEAL)

Tivoli Access Manager for e-business 4.1 (Web Server Plug-in)

Tivoli Access Manager for e-business 5.1 (WebSEAL)

Tivoli Access Manager for e-business 5.1 (Web Server Plug-in)

Tivoli Access Manager Identity Manager Solution 5.1 (WebSEAL o Web Server Plug-in)

Tivoli Access Manager Identity Manager Solution 5.1 (WebSEAL o Web Server Plug-in)

Tivoli Configuration Manager 4.2

Tivoli Configuration Manager for Automated Teller Machine 2.1.0

WebSphere Everyplace Server, Service Provider Offering for Multi-platforms 2.1.3, 2.1.4, 2.1.5