BEA WebLogic 7.0 und 8.1 custom trust manager fehlerhaft zugelassene SSL-Verbindungen
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.4 | $0-$5k | 0.00 |
Zusammenfassung
Eine als problematisch eingestufte Schwachstelle wurde in BEA WebLogic 7.0/8.1 festgestellt. Dies betrifft einen unbekannten Teil der Datei administrator's der Komponente Custom Trust Manager. Die Veränderung resultiert in schwache Authentisierung. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2004-1756 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zusätzlich gibt es einen verfügbaren Exploit. Es ist ratsam, einen Patch zu implementieren, um dieses Problem zu beheben.
Details
Der Hersteller hat Patches für eine Schwachstelle in WebLogic 7.0 und 8.1 herausgegeben. Es bestand ein Sicherheitsproblem, bei dem versehentlich SSL-Verbindungen zugelassen wurden, obwohl der custom trust manager die Verbindung nicht erlaube. Ein Angreifer könnte so erweiterte Zugriffsrechte im Rahmen der HTTP-/SSL-Sitzung erhalten. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (15862), SecurityFocus (BID 10132†), OSVDB (5298†), Secunia (SA11358†) und SecurityTracker (ID 1009765†) dokumentiert. Die Schwachstellen VDB-611, VDB-612, VDB-21736 und VDB-81994 sind ähnlich. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 87198 (Oracle WebLogic Server Multiple Vulnerabilities (BEA04-53.00,BEA04-54.00,BEA04-55.00)) zur Prüfung der Schwachstelle an.
Bei diesem Designfehler wird das gesamte Authentifizierungs-System von HTTP/SSL-Untergraben. Derlei Schwachstellen sind schwerwiegend, obwohl keine direkten erweiterten Rechte bei einem Angriff verbucht werden können. Doch es stellt sich heraus, dass das gesamte Sicherheitskonzept auf dieser Ebene bei der Umsetzung versagt hat.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.2VulDB Meta Temp Score: 7.4
VulDB Base Score: 8.2
VulDB Temp Score: 7.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Schwache AuthentisierungCWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Programmiersprache: 🔍
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: ftpna.beasys.com
Timeline
13.04.2004 🔍13.04.2004 🔍
13.04.2004 🔍
13.04.2004 🔍
13.04.2004 🔍
14.04.2004 🔍
14.04.2004 🔍
14.04.2004 🔍
10.03.2005 🔍
13.07.2006 🔍
21.11.2024 🔍
Quellen
Hersteller: oracle.comAdvisory: dev2dev.bea.com
Person: http://www.beasys.com
Firma: Bea Systems
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2004-1756 (🔍)
GCVE (CVE): GCVE-0-2004-1756
GCVE (VulDB): GCVE-100-613
CERT: 🔍
X-Force: 15862 - BEA WebLogic Server and Express custom trust manager certificate spoofing, Medium Risk
SecurityFocus: 10132 - BEA WebLogic Server and WebLogic Express Certificate Chain User Impersonation Vulnerability
Secunia: 11358 - BEA WebLogic SSL Impersonation Vulnerability, Moderately Critical
OSVDB: 5298 - BEA WebLogic 2-way SSL User / Server Impersonation
SecurityTracker: 1009765 - BEA WebLogic Custom Trust Manager Flaw May Let Remote Users Impersonate Target Users or Servers
Vulnerability Center: 12250 - BEA WebLogic Server and Express Using 2-Way SSL May Allow Remote Attackers to Spoof Other Users, Medium
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 14.04.2004 16:19Aktualisierung: 21.11.2024 18:55
Anpassungen: 14.04.2004 16:19 (82), 07.06.2017 16:02 (11), 21.11.2024 18:55 (17)
Komplett: 🔍
Cache ID: 216:203:103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.