Citrix MetaFrame Password Manager 2.x Secondary Application Passwörter auslesen
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.2 | $0-$5k | 0.00 |
Citrix MetaFrame ist eine kommerzielle Erweiterung zu Microsoft TerminalServer und erlaubt das Nutzen verschiedener Anwender einer Windows-Umgebung über das Netzwerk. Dieser Dienst ist mit dem seit Jahren unter Unix gebräuchlichen X11 vergleichbar. Citrix MetaFrame Password Manager ist für die Erstellung und Verwaltung von Benutzerpasswörtern zuständig. Wie Citrix im Dokument CTX105800 bekannt gegeben hat, existiert ein Designfehler im Password Manager 2.x wenn es um das Zurückhalten von Secondary Application Passwörtern geht. Durch Sterne verdeckte Passwörter können durch Benutzer wieder regeneriert werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Citrix hat den Fehler mit dem Hotfix MPM250W006 adressiert.
Ein ungeschickter Designfehler, der auf den ersten Blick nicht problematisch erscheint. Schliesslich können Benutzer ja nur diese Daten auslesen, die sie eigentlich kennen sollten. Es kann aber durchaus sein, dass in Umgebungen die einzelnen Benutzer keine Kenntnisse über die direkten Passwörter der genutzten Applikationen haben sollen. Beispielsweise, wenn aus Designgründen einer Lösung Account-Sharing betrieben werden muss. Das Problem ist also unter Umständen sehr wohl real. Glücklicherweise wurde das Problem erkannt und schnellstmöglich behoben, bevor die Schwachstelle zuvor schon gross in die Öffentlichkeit getragen werden konnte.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.4VulDB Meta Temp Score: 5.2
VulDB Base Score: 5.4
VulDB Temp Score: 5.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: UnbekanntCWE: Unbekannt
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Teilweise
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: support.citrix.com
Timeline
03.03.2005 🔍16.03.2005 🔍
16.03.2005 🔍
20.03.2005 🔍
20.03.2005 🔍
21.03.2005 🔍
02.05.2005 🔍
17.05.2007 🔍
18.05.2007 🔍
01.07.2019 🔍
Quellen
Hersteller: citrix.comAdvisory: support.citrix.com
Person: http://www.citrix.com
Firma: Citrix
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2005-0822 (🔍)
SecurityTracker: 1018077
SecurityFocus: 24041 - Citrix MetaFrame Password Manager Information Disclosure Vulnerability
Secunia: 14560 - Citrix MetaFrame Password Manager Secondary Password Disclosure, Not Critical
OSVDB: 14812 - Citrix MetaFrame Password Manager Secondary Password Disclosure
Eintrag
Erstellt: 21.03.2005 11:29Aktualisierung: 01.07.2019 18:16
Anpassungen: 21.03.2005 11:29 (70), 01.07.2019 18:16 (4)
Komplett: 🔍
Cache ID: 3:8C5:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.