OpenStack Keystone 2012.1.3 tools/sample_data.sh erweiterte Rechte
CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
4.0 | $0-$5k | 0.00 |
Eine problematische Schwachstelle wurde in OpenStack Keystone 2012.1.3 (Cloud Software) ausgemacht. Davon betroffen ist eine unbekannte Funktion der Datei tools/sample_data.sh. Durch Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-264. Mit Auswirkungen muss man rechnen für die Vertraulichkeit. CVE fasst zusammen:
tools/sample_data.sh in OpenStack Keystone 2012.1.3, when access to Amazon Elastic Compute Cloud (Amazon EC2) is configured, uses world-readable permissions for /etc/keystone/ec2rc, which allows local users to obtain access to EC2 services by reading administrative access and secret values from this file.
Die Schwachstelle wurde am 26.12.2012 durch Kurt Seifried von Red Hat Security Response Team als Bug 873447 in Form eines nicht definierten Bug Reports (Bugzilla) veröffentlicht. Das Advisory kann von bugzilla.redhat.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 24.10.2012 als CVE-2012-5483 statt. Sie gilt als leicht ausnutzbar. Der Angriff muss lokal passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1068.
Für den Vulnerability Scanner Nessus wurde am 11.12.2012 ein Plugin mit der ID 63210 (Fedora 17 : openstack-keystone-2012.1.3-3.fc17 (2012-19341)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Fedora Local Security Checks zugeordnet.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (80612) und Tenable (63210) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 63196.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.0VulDB Meta Temp Score: 4.0
VulDB Base Score: 4.0
VulDB Temp Score: 4.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-264
ATT&CK: T1068
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 63210
Nessus Name: Fedora 17 : openstack-keystone-2012.1.3-3.fc17 (2012-19341)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 864927
OpenVAS Name: Fedora Update for openstack-keystone FEDORA-2012-19341
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
24.10.2012 🔍11.12.2012 🔍
11.12.2012 🔍
11.12.2012 🔍
24.12.2012 🔍
26.12.2012 🔍
26.12.2012 🔍
24.03.2015 🔍
21.12.2021 🔍
Quellen
Hersteller: openstack.orgAdvisory: Bug 873447
Person: Kurt Seifried
Firma: Red Hat Security Response Team
Status: Nicht definiert
CVE: CVE-2012-5483 (🔍)
X-Force: 80612
Vulnerability Center: 37762 - OpenStack Keystone 2012.1 \x27/etc/keystone/ec2rc\x27 Local Information Disclosure Vulnerability, Low
SecurityFocus: 56888 - OpenStack Keystone CVE-2012-5483 Insecure File Permissions Vulnerability
Siehe auch: 🔍
Eintrag
Erstellt: 24.03.2015 12:22Aktualisierung: 21.12.2021 08:33
Anpassungen: 24.03.2015 12:22 (68), 22.04.2017 18:25 (5), 21.12.2021 08:33 (3)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.