| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.2 | $0-$5k | 0.00 |
Apache Tomcat stellt eine Umgebung zur Ausführung von Java-Code auf Webservern bereit, die im Rahmen des Jakarta-Projekts der Apache Software Foundation entwickelt wird. Konstantin Preiber hat eine Schwachstelle in der JVM gefunden, die beim Aufruf von javax.servlet.ServletRequest.getLocale() und javax.servlet.ServletRequest.getLocales() gegeben ist. Durch das Einstreuen manipulativer Header (z.B. Accept-Language) kann eine Denial of Service-Attacke durchgesetzt werden. Dieser Fehler betrifft die Tomcat-Versionen 5.5.0 bis 5.5.31. Ein Upgrade auf die Version 5.5.33 löst dieses und zwei andere Probleme. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (65160) und Tenable (51976) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 4284, 4283 und 54879.
Für den Vulnerability Scanner Nessus wurde am 14.02.2011 ein Plugin mit der ID 51976 (Apache Tomcat 7.x < 7.0.6 Manager Interface XSS) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Web Servers zugeordnet und im Kontext r ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 185026 (HP-UX Apache Web Server Multiple Vulnerabilities (HPSBUX02645)) zur Prüfung der Schwachstelle an.
Ein relativ primitiver Fehler führt hier zu einem Denial of Service Fehler, der durch die Verfügbarkeit eines Exploits auch relativ einfach auszunutzen wäre. Entsprechend rasch sollte die Adressierung des Problems durch den entsprechenden Patch angegangen werden, um das Risiko einer Ausnutzung zu reduzieren.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.5VulDB Meta Temp Score: 7.2
VulDB Base Score: 7.5
VulDB Temp Score: 7.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-79 / CWE-74 / CWE-707
ATT&CK: T1059.007
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 51976
Nessus Name: Apache Tomcat 7.x < 7.0.6 Manager Interface XSS
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 68994
OpenVAS Name: Debian Security Advisory DSA 2160-1 (tomcat6)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: tomcat.apache.org
Timeline
07.12.2010 🔍07.02.2011 🔍
07.02.2011 🔍
07.02.2011 🔍
14.02.2011 🔍
14.02.2011 🔍
15.02.2011 🔍
15.02.2011 🔍
18.02.2011 🔍
18.03.2021 🔍
Quellen
Hersteller: apache.orgAdvisory: exploringbinary.com
Person: Konstantin Preiber
Firma: Apache
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2011-0013 (🔍)
OVAL: 🔍
X-Force: 65160
Vulnerability Center: 29761 - Apache Tomcat 5.5-5.5.31, 6.0-6.0.29 and 7.0-7.0.5 Remote HTML-Injection Vulnerability, Medium
SecurityFocus: 46174 - Apache Tomcat HTML Manager Interface HTML Injection Vulnerability
Secunia: 43198 - Apache Tomcat Multiple Vulnerabilities, Moderately Critical
Siehe auch: 🔍
Eintrag
Erstellt: 15.02.2011 16:12Aktualisierung: 18.03.2021 19:14
Anpassungen: 15.02.2011 16:12 (81), 15.03.2017 12:47 (9), 18.03.2021 19:12 (3), 18.03.2021 19:14 (1)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.