Apache HTTP Server bis 1.3.6.2 auf Windows Directory Information Disclosure
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.8 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in Apache HTTP Server bis 1.3.6.2 für Windows entdeckt. Sie wurde als problematisch eingestuft. Dabei betrifft es einen unbekannter Codeteil. Die Bearbeitung unter Verwendung des Wertes //////////... verursacht Information Disclosure (Directory).
Diese Schwachstelle trägt die Bezeichnung CVE-2000-0505. Der Angriff kann über das Netzwerk passieren. Zusätzlich gibt es einen verfügbaren Exploit.
Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
Eine problematische Schwachstelle wurde in Apache HTTP Server bis 1.3.6.2 auf Windows (Web Server) entdeckt. Betroffen davon ist ein unbekannter Prozess. Durch Beeinflussen mit der Eingabe //////////... kann eine Information Disclosure-Schwachstelle (Directory) ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-200. Das hat Auswirkungen auf die Vertraulichkeit. CVE fasst zusammen:
The Apache 1.3.x HTTP server for Windows platforms allows remote attackers to list directory contents by requesting a URL containing a large number of / characters.Die Schwachstelle wurde am 31.05.2000 (Website) veröffentlicht. Das Advisory kann von securityfocus.com heruntergeladen werden. Die Identifikation der Schwachstelle findet als CVE-2000-0505 statt. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1592.
Unter exploit-db.com wird der Exploit zur Verfügung gestellt. Er wird als proof-of-concept gehandelt. Als 0-Day erzielte der Exploit wohl etwa $5k-$25k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde am 13.06.2000 ein Plugin mit der ID 10440 (Apache for Windows Multiple Forward Slash Directory Listing) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Web Servers zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 86375 (Generic Web Server Directory Traversal Vulnerability) zur Prüfung der Schwachstelle an.
Ein Upgrade vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (4575), Exploit-DB (19975), Tenable (10440), SecurityFocus (BID 1284†) und Vulnerability Center (SBV-146†) dokumentiert. Die Schwachstellen VDB-2839, VDB-2840, VDB-2838 und VDB-20636 sind ähnlich. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
- end of life (old version)
Webseite
- Hersteller: https://www.apache.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 4.8
VulDB Base Score: 5.3
VulDB Temp Score: 4.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Name: DirectoryKlasse: Information Disclosure / Directory
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 10440
Nessus Name: Apache for Windows Multiple Forward Slash Directory Listing
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 10440
OpenVAS Name: Check for Apache Multiple / vulnerability
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍
Timeline
31.05.2000 🔍31.05.2000 🔍
31.05.2000 🔍
31.05.2000 🔍
13.06.2000 🔍
16.10.2002 🔍
24.06.2014 🔍
18.04.2025 🔍
Quellen
Hersteller: apache.orgAdvisory: securityfocus.com⛔
Status: Bestätigt
CVE: CVE-2000-0505 (🔍)
GCVE (CVE): GCVE-0-2000-0505
GCVE (VulDB): GCVE-100-15608
X-Force: 4575
SecurityFocus: 1284
Vulnerability Center: 146 - Apache 4 windows 1.3x dir list, Medium
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 24.06.2014 23:30Aktualisierung: 18.04.2025 14:24
Anpassungen: 24.06.2014 23:30 (76), 16.04.2019 15:11 (1), 25.06.2021 07:41 (2), 18.04.2025 14:24 (18)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.