Pulp bis 2.2.x Certificate Default schwache Authentisierung

In Pulp bis 2.2.x wurde eine kritische Schwachstelle ausgemacht. Hierbei betrifft es unbekannten Programmcode der Komponente Certificate. Mittels Manipulieren mit unbekannten Daten kann eine schwache Authentisierung-Schwachstelle (Default) ausgenutzt werden. CWE definiert das Problem als CWE-295. Die Schwäche wurde am 03.04.2017 (oss-sec) öffentlich gemacht. Das Advisory findet sich auf openwall.com. Die Verwundbarkeit wird als CVE-2013-7450 geführt. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind keine technische Details verfügbar. Es ist soweit kein Exploit verfügbar. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1587.003 bezeichnet. Er wird als nicht definiert gehandelt. Mindestens 350 Tage galt die Schwachstelle als nicht öffentlicher Zero-Day. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Ein Aktualisieren auf die Version 2.3.0 vermag dieses Problem zu lösen. Dieser kann von github.com heruntergeladen werden. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.

Feld04.04.2017 08:4925.08.2020 14:5824.11.2022 18:59
namePulpPulpPulp
version<=2.2.x<=2.2.x<=2.2.x
componentCertificateCertificateCertificate
cwe295 (schwache Authentisierung)295 (schwache Authentisierung)295 (schwache Authentisierung)
risk222
historic000
cvss2_vuldb_basescore6.86.86.8
cvss2_vuldb_tempscore5.95.95.9
cvss2_vuldb_avNNN
cvss2_vuldb_acMMM
cvss2_vuldb_auNNN
cvss2_vuldb_ciPPP
cvss2_vuldb_iiPPP
cvss2_vuldb_aiPPP
cvss2_nvd_avNNN
cvss2_nvd_acLLL
cvss2_nvd_auNNN
cvss2_nvd_ciNNN
cvss2_nvd_iiPPP
cvss2_nvd_aiNNN
cvss3_meta_basescore7.47.47.4
cvss3_meta_tempscore7.17.17.2
cvss3_vuldb_basescore7.37.37.3
cvss3_vuldb_tempscore7.07.07.0
cvss3_vuldb_avNNN
cvss3_vuldb_acLLL
cvss3_vuldb_prNNN
cvss3_vuldb_uiNNN
cvss3_vuldb_sUUU
cvss3_vuldb_cLLL
cvss3_vuldb_iLLL
cvss3_vuldb_aLLL
cvss3_nvd_avNNN
cvss3_nvd_acLLL
cvss3_nvd_prNNN
cvss3_nvd_uiNNN
cvss3_nvd_sUUU
cvss3_nvd_cNNN
cvss3_nvd_iHHH
cvss3_nvd_aNNN
titlewordDefaultDefaultDefault
date1491177600 (03.04.2017)1491177600 (03.04.2017)1491177600 (03.04.2017)
locationoss-secoss-secoss-sec
urlhttp://www.openwall.com/lists/oss-security/2016/04/18/11http://www.openwall.com/lists/oss-security/2016/04/18/11http://www.openwall.com/lists/oss-security/2016/04/18/11
confirm_urlhttps://bugzilla.redhat.com/show_bug.cgi?id=1003326https://bugzilla.redhat.com/show_bug.cgi?id=1003326https://bugzilla.redhat.com/show_bug.cgi?id=1003326
price_0day$0-$5k$0-$5k$0-$5k
nameUpgradeUpgradeUpgrade
upgrade_version2.3.02.3.02.3.0
cveCVE-2013-7450CVE-2013-7450CVE-2013-7450
cve_assigned1460937600 (18.04.2016)1460937600 (18.04.2016)1460937600 (18.04.2016)
cve_nvd_published149117760014911776001491177600
cve_nvd_summaryPulp before 2.3.0 uses the same the same certificate authority key and certificate for all installations.Pulp before 2.3.0 uses the same the same certificate authority key and certificate for all installations.Pulp before 2.3.0 uses the same the same certificate authority key and certificate for all installations.
seealso998199981999819
cvss2_vuldb_eNDNDND
cvss2_vuldb_rlOFOFOF
cvss2_vuldb_rcNDNDND
cvss3_vuldb_eXXX
cvss3_vuldb_rlOOO
cvss3_vuldb_rcXXX
0day_days350350350
cvss3_nvd_basescore7.57.57.5
discoverydate14609376001460937600
osvdb_titleCVE-2013-7450 - Pulp - Duplicate Certificate IssueCVE-2013-7450 - Pulp - Duplicate Certificate Issue
patch_urlhttps://github.com/pulp/pulp/pull/627
cvss2_nvd_basescore5.0

Want to stay up to date on a daily basis?

Enable the mail alert feature now!