Se
ha publicado una actualización para RSA Access Manager (tanto Server como
Agent) que corrige una vulnerabilidad que podría ser usada por un atacante
remoto para evadir ciertas restricciones de seguridad.
Access Manager es un software de
RSA que ofrece un sistema centralizado de control de acceso para grandes
cantidades de usuarios. A su vez ofrece un servicio de inicio de sesión único
(Single sign-on) con el que se puede acceder a distintos sistemas con una misma
contraseña.
La
vulnerabilidad se debe a un error en
el proceso de cierre de sesión por el cual no se validan correctamente los
tokens de sesión. Esto podría ser aprovechado por un atacante remoto para
replicar una sesión usando tokens comprometidos.
Para el RSA Access Manager Server
las versiones afectadas por este fallo son la 6.0 y 6.1 en todos sus Service
Packs excepto el 4. Para el RSA Access Manager Agent todas las versiones están
afectadas.
Se recomienda aplicar los parches que solucionan esta
vulnerabilidad actualizando a las últimas versiones disponibles.
Más información:
RSA Access Manager Session Replay
Vulnerability
Daniel Vaca
No hay comentarios:
Publicar un comentario