Ipa bis 4.6.6/4.7.3/4.8.2 Batch Processing Password Information Disclosure

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.9$0-$5k0.00

Eine Schwachstelle wurde in Ipa bis 4.6.6/4.7.3/4.8.2 gefunden. Sie wurde als problematisch eingestuft. Hierbei geht es um unbekannter Programmcode der Komponente Batch Processing. Dank Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle (Password) ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-200. Mit Auswirkungen muss man rechnen für die Vertraulichkeit. CVE fasst zusammen:

A flaw was found in IPA, all 4.6.x versions before 4.6.7, all 4.7.x versions before 4.7.4 and all 4.8.x versions before 4.8.3, in the way that FreeIPA's batch processing API logged operations. This included passing user passwords in clear text on FreeIPA masters. Batch processing of commands with passwords as arguments or options is not performed by default in FreeIPA but is possible by third-party components. An attacker having access to system logs on FreeIPA masters could use this flaw to produce log file content with passwords exposed.

Die Schwachstelle wurde am 27.11.2019 in Form eines nicht definierten Bug Reports (Bugzilla) veröffentlicht. Das Advisory kann von bugzilla.redhat.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 27.03.2019 als CVE-2019-10195 statt. Der Angriff kann über das Netzwerk passieren. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1592.

Ein Upgrade auf die Version 4.6.7, 4.7.4 oder 4.8.3 vermag dieses Problem zu beheben.

Von weiterem Interesse können die folgenden Einträge sein: VDB-146445.

Produktinfo

Name

Version

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.0
VulDB Meta Temp Score: 4.9

VulDB Base Score: 3.5
VulDB Temp Score: 3.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 5.7
NVD Vector: 🔍

CNA Base Score: 5.7
CNA Vector (Red Hat, Inc.): 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Name: Password
Klasse: Information Disclosure / Password
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: Ipa 4.6.7/4.7.4/4.8.3

Timelineinfo

27.03.2019 🔍
27.11.2019 +245 Tage 🔍
27.11.2019 +0 Tage 🔍
28.02.2024 +1554 Tage 🔍

Quelleninfo

Advisory: RHSA-2020:0378
Status: Nicht definiert

CVE: CVE-2019-10195 (🔍)
Siehe auch: 🔍

Eintraginfo

Erstellt: 27.11.2019 13:12
Aktualisierung: 28.02.2024 15:48
Anpassungen: 27.11.2019 13:12 (41), 27.11.2019 13:17 (11), 28.02.2024 15:42 (3), 28.02.2024 15:48 (19)
Komplett: 🔍
Cache ID: 44:9EF:40

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Interested in the pricing of exploits?

See the underground prices here!