Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

IBM Security Identity Manager 5.1
IBM Security Identity Manager < 5.1.0.15 IF0056 Betroffene Plattformen: IBM Security Identity Manager Eine Cross-site-Request-Forgery (CSRF)-Schwachstelle in IBM Security Identity Manager 5.1 bevor 5.1.0.15 IF0056 ermöglicht einem entfernten, authentifizierten Benutzer, als Angreifer, die Authentifizierung beliebiger anderer Benutzer für HTTP-Requests zu übernehmen, um mittels dieser Cross-Site-Scripting (XSS)-Sequenzen einzuschleusen. Durch Ausnutzen dieser Schwachstelle wird nur die Integerität des Systems kompromittiert, nicht jedoch die Vertrauenswürdigkeit oder die Verfügbarkeit. Patch: IBM Security Advisory # 1692907 http://www-01.ibm.com/support/docview.wss?uid=swg21692907

CVE-2014-6168: Schwachstelle in IBM Security Identity Manager erlaubt
Cross-Site-Request-Forgery

Eine Schwachstelle in IBM Security Identity Manager besteht aufgrund einer
ungenügenden Validierung von Benutzereingaben. Ein entfernter,
authentifizierter Benutzer, als Angreifer, kann diese Schwachstelle
ausnutzen, indem er einen beliebigen angemeldeten Benutzer dazu verleitet,
eine schädliche Webseite zu besuchen, um einen schädlich geformten
HTTP-Request zu senden. In der Folge kann der Angreifer Cross-site-Scripting
(XSS)-Angriffe, Web-Cache-Vergiftung und andere schädliche Aktivitäten
durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1722/

IBM Security Advisory # 1692907:
http://www-01.ibm.com/support/docview.wss?uid=swg21692907

Schwachstelle CVE-2014-6168 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6168

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.