Apache HTTP Server bis 2.0.39 auf Windows/OS2/Netware Error Message Path Information Disclosure

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.3$0-$5k0.00

In Apache HTTP Server bis 2.0.39 auf Windows/OS2/Netware (Web Server) wurde eine problematische Schwachstelle gefunden. Betroffen ist ein unbekannter Teil der Komponente Error Message Handler. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle (Path) ausgenutzt werden. CWE definiert das Problem als CWE-200. Auswirkungen sind zu beobachten für die Vertraulichkeit. CVE fasst zusammen:

Apache 2.0 through 2.0.39 on Windows, OS2, and Netware allows remote attackers to determine the full pathname of the server via (1) a request for a .var file, which leaks the pathname in the resulting error message, or (2) via an error message that occurs when a script (child process) cannot be invoked.

Die Schwachstelle wurde am 05.09.2002 von Qualys in Form eines nicht definierten Postings (Bugtraq) an die Öffentlichkeit getragen. Auf marc.theaimsgroup.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2002-0654 vorgenommen. Sie ist leicht auszunutzen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. MITRE ATT&CK führt die Angriffstechnik T1592 für diese Schwachstelle.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an. Weiterführend können Angriffe durch TippingPoint mittels dem Filter 1595 erkannt werden.

Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (9876) dokumentiert.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Support

  • end of life (old version)

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.3
VulDB Meta Temp Score: 5.3

VulDB Base Score: 5.3
VulDB Temp Score: 5.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Name: Path
Klasse: Information Disclosure / Path
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔍
TippingPoint: 🔍

McAfee IPS: 🔍
McAfee IPS Version: 🔍

PaloAlto IPS: 🔍

Timelineinfo

16.08.2002 🔍
05.09.2002 +20 Tage 🔍
05.09.2002 +0 Tage 🔍
05.09.2002 +0 Tage 🔍
21.06.2004 +655 Tage 🔍
22.07.2014 +3683 Tage 🔍
22.05.2019 +1765 Tage 🔍

Quelleninfo

Hersteller: apache.org

Advisory: marc.theaimsgroup.com
Firma: Qualys
Status: Nicht definiert
Bestätigung: 🔍

CVE: CVE-2002-0654 (🔍)
X-Force: 9876
Vulnerability Center: 4584 - Apache 2.0 - 2.0.39 Reveals Full Pathname of Server, Medium
SecurityFocus: 5486 - Apache 2.0 CGI Path Disclosure Vulnerability

Eintraginfo

Erstellt: 23.07.2014 00:17
Aktualisierung: 22.05.2019 12:55
Anpassungen: 23.07.2014 00:17 (63), 22.05.2019 12:55 (4)
Komplett: 🔍
Cache ID: 3:3BC:103

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!