Oracle Application Server Dynamic Monitoring Services schwache Authentisierung
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.9 | $0-$5k | 0.03 |
Es wurde eine Schwachstelle in Oracle Application Server - die betroffene Version ist unbekannt - (Application Server Software) gefunden. Sie wurde als kritisch eingestuft. Betroffen hiervon ist unbekannter Programmcode der Komponente Dynamic Monitoring Services. Durch Beeinflussen mit einer unbekannten Eingabe kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-287 vorgenommen. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 10.01.2002 durch David Litchfield von NGSSoftware (Website) publik gemacht. Auf marc.theaimsgroup.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird unter CVE-2002-0563 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar keine technische Details, jedoch ein Exploit zur Schwachstelle bekannt.
Es wurde direkt nach dem Advisory ein Exploit veröffentlicht. Er wird als proof-of-concept gehandelt. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 10848 (Oracle 9iAS DMS / JPM Pages Anonymous Access) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Databases zugeordnet.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an. Angriffe können durch Snort ID 1872 erkannt werden.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (8455) und Tenable (10848) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: VDB-18383.
Produkt
Typ
Hersteller
Name
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 6.9
VulDB Base Score: 7.3
VulDB Temp Score: 6.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Schwache AuthentisierungCWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 10848
Nessus Name: Oracle 9iAS DMS / JPM Pages Anonymous Access
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 53594
OpenVAS Name: Oracle 9iAS Java Process Manager
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Exploit Delay Time: 🔍
Snort ID: 1872
Timeline
10.01.2002 🔍10.01.2002 🔍
25.02.2002 🔍
03.07.2002 🔍
12.09.2002 🔍
11.04.2016 🔍
13.07.2022 🔍
Quellen
Hersteller: oracle.comAdvisory: marc.theaimsgroup.com
Person: David Litchfield
Firma: NGSSoftware
Status: Nicht definiert
CVE: CVE-2002-0563 (🔍)
X-Force: 8455
SecurityFocus: 4293 - Oracle 9iAS Unautheticated User Access To Sensitive Services Vulnerability
OSVDB: 705 - Oracle Application Server Multiple Dynamic Monitoring Services Remote Anonymous Access
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 11.04.2016 14:48Aktualisierung: 13.07.2022 09:06
Anpassungen: 11.04.2016 14:48 (58), 01.10.2018 10:54 (8), 13.07.2022 09:06 (4)
Komplett: 🔍
Cache ID: 18:299:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.