Apache mod_python bis 3.2.7 User-Session FileSession Directory Traversal
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.7 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in Apache HTTP Server bis 3.2.7 ausgemacht. Sie wurde als kritisch eingestuft. Dabei geht es um eine nicht genauer bekannte Funktion der Komponente User Session Handler. Die Manipulation führt zu Directory Traversal. Die Identifikation der Schwachstelle wird mit CVE-2006-1095 vorgenommen. Der Angriff lässt sich über das Netzwerk starten. Ferner existiert ein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
Python [pa??n] ist eine objektorientierte Programmiersprache. Sie wurde Anfang der 90er Jahre von Guido van Rossum am Centrum voor Wiskunde en Informatica in Amsterdam entwickelt, ursprünglich für das verteilte Betriebssystem Amoeba. Mitunter ist auch ein Modul für den beliebten Apache Webserver verfügbar. Wie das Entwicklerteam meldet, sind bisherige Versionen gegen eine Directory Traversal-Schwachstelle verwundbar. Diese betrifft FileSessions. Ein Angreifer könnte so in den Besitz erweiterter Rechte auf dem Webserver kommen. Der Fehler wurde in mod_python 3.2.7 behoben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (24965), SecurityFocus (BID 16916†), OSVDB (23906†), Secunia (SA19239†) und SecurityTracker (ID 1015764†) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Problematisch an dieser Schwachstelle ist die relativ hohe Verbreitung - vor allem im Web-Bereich. Angreifer könnten entsprechend den Umstand nutzen, um das System zu kompromittieren. Das Umsetzen von Gegenmassnahmen ist deshalb in betroffenen Umgebungen von erhöhter Wichtigkeit. Vor allem die vermeintliche Einfachheit der Ausnutzung der Schwachstelle wird dazu führen, dass der eine oder andere die neue Schwäche zu seinem Vorteil nutzen werden will.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.apache.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.5VulDB Meta Temp Score: 5.7
VulDB Base Score: 6.5
VulDB Temp Score: 5.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Directory TraversalCWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Ja
Verfügbarkeit: 🔍
Zugang: Privat
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: HTTP Server 3.2.8
Patch: httpd.apache.org
Timeline
02.03.2006 🔍05.03.2006 🔍
09.03.2006 🔍
09.03.2006 🔍
14.03.2006 🔍
14.03.2006 🔍
14.03.2006 🔍
20.03.2006 🔍
16.04.2019 🔍
Quellen
Hersteller: apache.orgAdvisory: modpython.org
Person: http://httpd.apache.org
Firma: Apache Software Foundation
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2006-1095 (🔍)
GCVE (CVE): GCVE-0-2006-1095
GCVE (VulDB): GCVE-100-2082
X-Force: 24965 - Apache mod_python FileSession command execution, Medium Risk
SecurityFocus: 16916 - Apache mod_python FileSession Code Execution Vulnerability
Secunia: 19239 - Apache mod_python FileSession Handling Vulnerability, Less Critical
OSVDB: 23906 - Apache mod_python for Apache HTTP Server FileSession Privileged Local Command Execution
SecurityTracker: 1015764 - mod_python FileSession Directory Traversal Bug May Let Local Users Gain Additional Privileges
Vupen: ADV-2006-0768
Eintrag
Erstellt: 20.03.2006 16:25Aktualisierung: 16.04.2019 15:10
Anpassungen: 20.03.2006 16:25 (59), 16.04.2019 15:10 (24)
Komplett: 🔍
Cache ID: 216:B57:103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.