Micro Focus Access Manager

Die Schwachstelle betrifft den Micro Focus Access Manager, eine Software zur zentralen Zugriffs- und Anmeldeverwaltung. Ursache ist eine fehlerhaft umgesetzte erweiterte Konfiguration im Zusammenspiel mit der SAML-Anmeldung: Wenn ein Dienst als SAML-Dienstanbieter eingebunden ist und dabei die sogenannte Assertion Consumer Service URL – also die Adresse, an die der Anmeldenachweis nach erfolgreicher Authentifizierung zurückgeleitet wird – verwendet wird, kommt es bei der Weiterleitung zu einem Fehler. Über diese fehlerhafte Umleitung können interne Informationen nach außen gelangen, die eigentlich nicht offengelegt werden dürften. Ein Angreifer kann den Defekt ausnutzen, um an solche preisgegebenen Daten zu kommen und sie für weitere Angriffe zu verwenden. Betroffen sind Installationen, die den Access Manager als SAML-Dienstanbieter mit der genannten Rückleitungsadresse betreiben. Der Defekt liegt in der Verarbeitung der Anmeldeweiterleitung selbst und nicht in der Konfiguration durch den Betreiber.