OWASP Enterprise Security API bis 2.0.0 Default Configuration schwache Verschlüsselung
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.2 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine problematische Schwachstelle in OWASP Enterprise Security API bis 2.0.0 gefunden. Davon betroffen ist unbekannter Code der Komponente Default Configuration. Die Bearbeitung verursacht schwache Verschlüsselung. Diese Sicherheitslücke ist unter CVE-2013-5960 bekannt. Es steht kein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
In OWASP Enterprise Security API bis 2.0.0 (Automation Software) wurde eine kritische Schwachstelle gefunden. Das betrifft ein unbekannter Codeblock der Komponente Default Configuration. Mit der Manipulation mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-310. Das hat Auswirkungen auf Vertraulichkeit und Integrität. CVE fasst zusammen:
The authenticated-encryption feature in the symmetric-encryption implementation in the OWASP Enterprise Security API (ESAPI) for Java 2.x before 2.1.1 does not properly resist tampering with serialized ciphertext, which makes it easier for remote attackers to bypass intended cryptographic protection mechanisms via an attack against the intended cipher mode in a non-default configuration, a different vulnerability than CVE-2013-5679.Die Schwachstelle wurde am 30.09.2013 durch Philippe Arteau (Website) an die Öffentlichkeit getragen. Das Advisory kann von owasp-esapi-java.googlecode.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 30.09.2013 mit CVE-2013-5960 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1600.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 80532 (Fedora 20 : owasp-esapi-java-2.1.0-2.fc20 (2015-0259)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Fedora Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 123171 (Fedora Security Update for owasp-esapi-java (FEDORA-2015-0322)) zur Prüfung der Schwachstelle an.
Ein Upgrade auf die Version 2.0.1 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (87739), Tenable (80532), SecurityFocus (BID 62415†) und Vulnerability Center (SBV-48244†) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-10451. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.5VulDB Meta Temp Score: 6.2
VulDB Base Score: 6.5
VulDB Temp Score: 6.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Schwache VerschlüsselungCWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 80532
Nessus Name: Fedora 20 : owasp-esapi-java-2.1.0-2.fc20 (2015-0259)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 867773
OpenVAS Name: Fedora Update for owasp-esapi-java FEDORA-2015-0322
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Enterprise Security API 2.0.1
Timeline
15.09.2013 🔍15.09.2013 🔍
30.09.2013 🔍
30.09.2013 🔍
30.09.2013 🔍
27.01.2015 🔍
24.03.2015 🔍
08.01.2022 🔍
Quellen
Advisory: 359Person: Philippe Arteau
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2013-5960 (🔍)
GCVE (CVE): GCVE-0-2013-5960
GCVE (VulDB): GCVE-100-65056
X-Force: 87739
SecurityFocus: 62415 - OWASP ESAPI CBC Mode HMAC Authentication Bypass Vulnerability
Vulnerability Center: 48244 - OWASP Enterprise Security API (ESAPI) Remote Security Bypass in the Authenticated-Encryption Feature, Medium
Siehe auch: 🔍
Eintrag
Erstellt: 24.03.2015 15:54Aktualisierung: 08.01.2022 01:01
Anpassungen: 24.03.2015 15:54 (61), 18.06.2017 09:36 (12), 08.01.2022 00:52 (3), 08.01.2022 01:01 (1)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.