F-Secure Policy Manager bis 5.11.2810 fsmsh.dll direkter HTTP-Aufruf gibt Pfad preis
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.4 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle, die als problematisch eingestuft wurde, wurde in F-Secure Policy Manager bis 5.11.2810 gefunden. Hierbei betrifft es unbekannten Programmcode in der Bibliothek fsmsh.dll der Komponente HTTP Handler. Durch Manipulieren mit unbekannten Daten kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird unter CVE-2004-1223 geführt. Der Angriff lässt sich über das Netzwerk starten. Desweiteren ist ein Exploit verfügbar. Es wird empfohlen, restriktive Firewall-Regeln anzuwenden.
Details
Die Kommerzielle Lösung F-Secure Policy Manager stellt ein zentralisiertes und effizientes Management-System für heikle Lösungen dar. Oliver Karow publizierte ein Advisory, in dem er auf einen kleinen Designfehler in F-Secure Policy Manager bis 5.11.2810 aufmerksam machte. Durch einen direkten HTTP-Aufruf der Bibliothek /fsms/fsmsh.dll? wird eine Herausgabe des absoluten Systempfads provoziert. Diese Information kann durch einen Angreifer genutzt werden, um ein Mapping der Verzeichnisstruktur des Zielsystems zu machen. F-Secure berichtet, dass der Fehler in der kommenden Software-Version behoben werden wird. Als Workaround wird empfohlen, unerlaubte Zugriffe auf das betroffene System (normalerweise über den Port tcp/80) mittels Firewalling zu unterbinden. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (18413), Exploit-DB (24811), Tenable (15931), SecurityFocus (BID 11869†) und OSVDB (12289†) dokumentiert. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Für den Vulnerability Scanner Nessus wurde am 10.12.2004 ein Plugin mit der ID 15931 (F-Secure Policy Manager Path Disclosure) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CGI abuses zugeordnet und im Kontext r ausgeführt.
Das Problem ansich ist weder neu noch wirklich problematisch. Interessant ist, dass plötzlich das Advisory von Oliver Karow verschwunden ist. Der im Secunia-Posting genannte Link auf seine Webseite führt zu einer Not Found-Meldung. Secunia berichtet zwar, dass F-Secure das Problem bei der nächsten Version beheben will. Ob jedoch auf Herrn Karow Druck ausgeübt wurde, das Problem zwischenzeitlich nicht weiter zu propagieren, ist momentan noch unklar.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.f-secure.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 3.7VulDB Meta Temp Score: 3.4
VulDB Base Score: 3.7
VulDB Temp Score: 3.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 15931
Nessus Name: F-Secure Policy Manager Path Disclosure
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: FirewallStatus: 🔍
0-Day Time: 🔍
Patch: f-secure.com
Timeline
09.12.2004 🔍09.12.2004 🔍
09.12.2004 🔍
09.12.2004 🔍
10.12.2004 🔍
10.12.2004 🔍
10.12.2004 🔍
10.12.2004 🔍
10.12.2004 🔍
13.12.2004 🔍
14.12.2004 🔍
15.12.2004 🔍
10.01.2005 🔍
04.09.2025 🔍
Quellen
Hersteller: f-secure.comAdvisory: oliverkarow.de
Person: Oliver Karow
Status: Bestätigt
CVE: CVE-2004-1223 (🔍)
GCVE (CVE): GCVE-0-2004-1223
GCVE (VulDB): GCVE-100-1029
X-Force: 18413
SecurityFocus: 11869 - F-Secure Policy Manager FSMSH.DLL CGI Application Installation Path Disclosure Vulnerability
Secunia: 13416 - F-Secure Policy Manager "fsmsh.dll" Path Disclosure Weakness, Not Critical
OSVDB: 12289 - F-Secure Policy Manager fsmsh.dll Path Disclosure
SecurityTracker: 1012473
SecuriTeam: securiteam.com
Vulnerability Center: 6432 - F-Secure Policy Manager fsmsh.dll CGI Reveals Installation Path, Medium
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 15.12.2004 13:43Aktualisierung: 04.09.2025 16:21
Anpassungen: 15.12.2004 13:43 (92), 30.06.2019 12:58 (2), 04.09.2025 16:21 (20)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.