製品・ソフトウェアに関する情報

JVN脆弱性詳細

IBM Tivoli Federated Identity Manager 製品におけるセッションを確立される脆弱性

タイトル	IBM Tivoli Federated Identity Manager 製品におけるセッションを確立される脆弱性
概要	IBM Tivoli Federated Identity Manager (TFIM) および Tivoli Federated Identity Manager Business Gateway (TFIMBG) には、セッションを確立される脆弱性が存在します。
想定される影響	第三者により、以下の項目を利用する巧妙に細工されたメッセージを介して、セッションを確立される可能性があります。 (1) 未署名の要素を含む SAML メッセージに対する署名の検証の回避 (2) XML メッセージに対する不正確な検証 (3) XML 署名要素に含まれる署名の証明書に対する証明書チェーンの検証の回避
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2012年10月2日0:00
登録日	2012年10月4日14:47
最終更新日	2012年10月4日14:47

影響を受けるシステム

IBM

Tivoli Federated Identity Manager 6.1.1

Tivoli Federated Identity Manager 6.2.0

Tivoli Federated Identity Manager 6.2.1

Tivoli Federated Identity Manager 6.2.2

Tivoli Federated Identity Manager Business Gateway 6.1.1

Tivoli Federated Identity Manager Business Gateway 6.2.0

Tivoli Federated Identity Manager Business Gateway 6.2.1

Tivoli Federated Identity Manager Business Gateway 6.2.2

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2012-3314	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3314
National Vulnerability Database (NVD)
2	CVE-2012-3314	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-3314

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
IBM Support Document
1	1612612	http://www-01.ibm.com/support/docview.wss?uid=swg21612612

変更履歴

No	変更内容	変更日
0	[2012年10月04日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2012-3314

概要	IBM Tivoli Federated Identity Manager (TFIM) and Tivoli Federated Identity Manager Business Gateway (TFIMBG) 6.1.1, 6.2.0, 6.2.1, and 6.2.2 allow remote attackers to establish sessions via a crafted message that leverages (1) a signature-validation bypass for SAML messages containing unsigned elements, (2) incorrect validation of XML messages, or (3) a certificate-chain validation bypass for an XML signature element that contains the signing certificate.
公表日	2012年10月3日6:55
登録日	2021年1月28日15:00
最終更新日	2024年11月21日10:40

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:ibm:tivoli_federated_identity_manager:6.2.0:::::::*
cpe:2.3:a:ibm:tivoli_federated_identity_manager:6.1.1:::::::*
cpe:2.3:a:ibm:tivoli_federated_identity_manager:6.2.2:::::::*
cpe:2.3:a:ibm:tivoli_federated_identity_manager:6.2.1:::::::*

構成2	以上	以下	より上	未満
cpe:2.3:a:ibm:tivoli_federated_identity_manager_business_gateway:6.2.2:::::::*
cpe:2.3:a:ibm:tivoli_federated_identity_manager_business_gateway:6.2.0:::::::*
cpe:2.3:a:ibm:tivoli_federated_identity_manager_business_gateway:6.1.1:::::::*
cpe:2.3:a:ibm:tivoli_federated_identity_manager_business_gateway:6.2.1:::::::*

No	URL	タグ
1	http://www.securityfocus.com/bid/55732
2	http://www.securityfocus.com/bid/55732
3	http://www-01.ibm.com/support/docview.wss?uid=swg1IV23435
4	http://www-01.ibm.com/support/docview.wss?uid=swg1IV23435
5	http://www-01.ibm.com/support/docview.wss?uid=swg1IV23442
6	http://www-01.ibm.com/support/docview.wss?uid=swg1IV23442
7	http://www-01.ibm.com/support/docview.wss?uid=swg1IV23445
8	http://www-01.ibm.com/support/docview.wss?uid=swg1IV23445
9	http://www-01.ibm.com/support/docview.wss?uid=swg1IV23448
10	http://www-01.ibm.com/support/docview.wss?uid=swg1IV23448
11	http://www-01.ibm.com/support/docview.wss?uid=swg21612612	Patch Vendor Advisory
12	http://www-01.ibm.com/support/docview.wss?uid=swg21612612	Patch Vendor Advisory