Novell eDirectory 8.x Novell Modular Authentication Service bis 2.3.8 fehlerhafte Authentisierung
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.2 | $0-$5k | 0.00 |
Zusammenfassung
In Novell eDirectory 8.x wurde eine kritische Schwachstelle entdeckt. Betroffen davon ist eine unbekannte Funktion der Komponente Modular Authentication Service. Durch das Manipulieren mit unbekannten Daten kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Umgesetzt werden kann der Angriff über das Netzwerk. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
Novell eDirectory ist eine bekannte kommerzielle Lösung für Identity Management in grossen Umgebungen. Eine klassische Funktion stellt dabei der Novell Modular Authentication Service (NMAS) zur Verfügung: Durch das Beantworten einer geheimen Frage kann ein Benutzer sein Passwort - falls es vergessen oder verloren wurde - zurücksetzen. Novell gab nun eine aktualisierte Version eben dieser Komponente heraus, das ein Angreifer in den Versionen bis 2.3.8 das Passwort ohne das Beantworten der "Secret Question" zurücksetzen konnte. Unter anderem wird der Fehler auch in den Datenbanken von SecurityFocus (BID 14419†), OSVDB (18341†), Secunia (SA16267†) und SecurityTracker (ID 1014595†) dokumentiert. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Diese Designschwäche wäre sehr einfach zu vermeiden gewesen, wenn spätestens während der Entwicklungs- und Test-Phase eine ausgiebige Überprüfung der Passwort-Funktionalität durchgeführt worden wäre. Leider muss man hier Schlampigkeit der Entwickler nachsagen. Eine solche ist grundsätzlich unakzeptabel, denn dadurch könnte ein beachtlicher wirtschaftlicher oder persönlicher Schaden entstehen. Da das Problem nun bekannt ist, sollte man seine Rechnerkonfiguration überprüfen und gegebenenfalls anpassen, um nicht erwünschte Zugriffe zu verhindern.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
Webseite
- Hersteller: https://www.novell.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.4VulDB Meta Temp Score: 5.2
VulDB Base Score: 5.4
VulDB Temp Score: 5.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Schwache AuthentisierungCWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: eDirectory 2.3.8
Patch: support.novell.com
Timeline
28.07.2005 🔍29.07.2005 🔍
29.07.2005 🔍
29.07.2005 🔍
08.08.2005 🔍
04.07.2019 🔍
Quellen
Hersteller: novell.comAdvisory: support.novell.com
Person: http://www.novell.com
Firma: Novell
Status: Bestätigt
GCVE (VulDB): GCVE-100-1672
SecurityFocus: 14419 - Novell eDirectory NMAS Authentication Bypass Vulnerability
Secunia: 16267 - Novell eDirectory NMAS Password Challenge Bypass, Moderately Critical
OSVDB: 18341 - Novell eDirectory NMAS Password Challenge Bypass
SecurityTracker: 1014595
Eintrag
Erstellt: 08.08.2005 11:44Aktualisierung: 04.07.2019 06:56
Anpassungen: 08.08.2005 11:44 (60), 04.07.2019 06:56 (4)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.