| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.3 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in BEA Tuxedo bis 8.1 entdeckt. Sie wurde als kritisch eingestuft. Dabei betrifft es einen unbekannter Codeteil der Komponente Device Name Handler. Die Bearbeitung verursacht Denial of Service. Die Identifikation der Schwachstelle wird mit CVE-2003-0621 vorgenommen. Der Angriff kann über das Netzwerk passieren. Ferner existiert ein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
Die BEA Tuxedo administration console ist ein CGI-Programm, die einige Startup-Argumente annimmt. Einer der jüngst publizierten Fehler im Programm liegt darin, dass ein Angreifer als Argument einen Device Name übergeben kann, um so einen Denial of Service-Angriff durchzuführen. Dies führt dazu, dass keine weiteren Zugriffe auf die Administrations Konsole mehr möglich sind. Ebenfalls kann die Stabilität der ganzen Lösung darunter leiden. BEA hat in ihrem Advisory diverse Patches zur Verfügung gestellt, die das Problem zu beheben in der Lage sind. Im mitunter auf SecuriTeam.com publizierten Corsaire Security Advisory wird darauf verwiesen, dass Standard-Skripte in solchen Umgebungen niemals mitinstalliert und deshalb nachträglich zu Gunsten der Sicherheit wieder entfernt werden sollten. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (13559), Exploit-DB (23312), SecurityFocus (BID 8931†), OSVDB (2741†) und Secunia (SA10106†) dokumentiert. Die Einträge VDB-360, VDB-361, VDB-21012 und VDB-21013 sind sehr ähnlich. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 86700 (BEA Tuxedo and WebLogic Enterprise Input Validation Vulnerability) zur Prüfung der Schwachstelle an.
Da zeitgleich drei Schwachstellen in BEA WebLogic gefunden wurden, ist in den kommenden Wochen mit einem erhöhten Interesse für diese Lösung zu rechnen. Umso wichtig und dringend ist es erforderlich, die Gegenmassnahmen zur Sicherung der Umgebung vorzunehmen.
Produkt
Hersteller
Name
Version
Lizenz
Webseite
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.9VulDB Meta Temp Score: 5.3
VulDB Base Score: 5.9
VulDB Temp Score: 5.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Qualys ID: 🔍
Qualys Name: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: dev2dev.bea.com
Timeline
31.07.2003 🔍29.10.2003 🔍
30.10.2003 🔍
30.10.2003 🔍
30.10.2003 🔍
03.11.2003 🔍
03.11.2003 🔍
01.12.2003 🔍
04.01.2005 🔍
23.07.2024 🔍
Quellen
Hersteller: oracle.comAdvisory: dev2dev.bea.com
Person: The disclosure
Firma: Corsaire Security Advisory
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2003-0621 (🔍)
GCVE (CVE): GCVE-0-2003-0621
GCVE (VulDB): GCVE-100-362
X-Force: 13559
SecurityFocus: 8931 - BEA Tuxedo and WebLogic Enterprise Input Validation Vulnerability
Secunia: 10106 - BEA Tuxedo and WebLogic Enterprise Administration Console Vulnerability, Less Critical
OSVDB: 2741 - BEA Tuxedo administration console device name denial of service
SecuriTeam: securiteam.com
Vulnerability Center: 6748 - BEA Tuxedo and Weblogic Enterprise Administration Console Discloses Existence of File, Medium
TecChannel: 1362 [404 Not Found]
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 03.11.2003 10:33Aktualisierung: 23.07.2024 07:00
Anpassungen: 03.11.2003 10:33 (78), 27.06.2019 07:38 (6), 09.03.2021 07:23 (2), 23.07.2024 07:00 (17)
Komplett: 🔍
Cache ID: 216:01C:103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.