| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.3 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in Sun Solaris 2.6/7.0/8.0 gefunden. Sie wurde als problematisch eingestuft. Hierbei geht es um die Funktion Debug der Komponente FTP Client. Dank der Manipulation mit unbekannten Daten kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden.
Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2003-1078 vorgenommen. Der Angriff erfordert Zugriff auf das lokale Netzwerk. Es gibt keinen verfügbaren Exploit.
Es wird geraten, die betroffene Komponente zu deaktivieren.
Details
Solaris ist ein populäres UNIX-Derivat aus dem Hause Sun Microsystems. Ein Problem beim standardmässig mit diesem Betriebssystem ausgelieferten FTP-Client erlaubt das Anzeigen von FTP-Passwörtern. Dabei ist lediglich das Aufstarten der Software mit aktivierter Debug-Option notwendig. Betroffen sind Sun Solaris 2.6, 7.0 und 8.0. Entsprechende Patches wurden vom Hersteller bereitgestellt. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (11436), SecurityFocus (BID 6989†), OSVDB (15146†), Secunia (SA8186†) und SecurityTracker (ID 1006195†) dokumentiert. Die Schwachstellen VDB-10 sind ähnlich. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Glücklicherweise ist für das Ausnutzen dieser Schwachstelle ein lokaler Zugriff sowie die Berechtigung des Nutzens des FTP-Clients nötig. Dies bedeutet, dass sich ein Angreifer zuerst lokalen Zugriff verschaffen muss, um die entsprechenden Passwörter auszulesen. Da er sich sodann sowieso schon im System befindet, wird er jedoch kein primäres Interesse mehr an diesen Daten haben.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
- end of life (old version)
Webseite
- Hersteller: https://www.oracle.com/sun/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 6.3
VulDB Base Score: 6.3
VulDB Temp Score: 6.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Schwache VerschlüsselungCWE: CWE-312 / CWE-310
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: DeaktivierenStatus: 🔍
0-Day Time: 🔍
Patch: sunsolve.sun.com
Timeline
27.02.2003 🔍28.02.2003 🔍
28.02.2003 🔍
28.02.2003 🔍
08.02.2005 🔍
15.03.2005 🔍
07.05.2009 🔍
13.12.2016 🔍
Quellen
Hersteller: oracle.comAdvisory: sunsolve.sun.com⛔
Person: http://www.sun.com
Firma: Sun Microsystems Inc.
Status: Bestätigt
CVE: CVE-2003-1078 (🔍)
GCVE (CVE): GCVE-0-2003-1078
GCVE (VulDB): GCVE-100-13
X-Force: 11436 - Sun Solaris ftp -d plaintext password, Medium Risk
SecurityFocus: 6989 - Sun Microsystems Solaris FTP Client Debug Mode Password Display Vulnerability
Secunia: 8186 - SUN Solaris ftp in debug mode password disclosure, Not Critical
OSVDB: 15146 - Solaris FTP Client Debug (-d) Flag Password Disclosure
SecurityTracker: 1006195 - Sun Solaris FTP Client Displays The User Password When in Debug Mode
Vulnerability Center: 21930 - Sun Solaris 2.6, 7 and 8 FTP Client Local Information Disclosure Vulnerability, High
Siehe auch: 🔍
Eintrag
Erstellt: 28.02.2003 01:00Aktualisierung: 13.12.2016 20:20
Anpassungen: 28.02.2003 01:00 (57), 13.12.2016 20:20 (26)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.