Sun Java System Application Server 7.x und 8.x fehlerhafte Anfragen gibt Pfad preis
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.9 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in Sun Java System Application Server 7.x/8.x ausgemacht. Sie wurde als problematisch eingestuft. Betroffen hiervon ist ein unbekannter Ablauf der Komponente Query Handler. Durch die Manipulation mit unbekannten Daten kann eine unbekannte Schwachstelle ausgenutzt werden. Der Angriff kann remote ausgeführt werden. Es ist soweit kein Exploit verfügbar. Es wird empfohlen, restriktive Firewall-Regeln anzuwenden.
Details
Marc Schoenefeld hat im Sun Java System Application Server 8.x einen Fehler entdeckt. Dieser gibt unter Umständen den Pfad der Applikation preis. Ein Angreifer kann im Rahmen einer HTTP-Sitzung bei einer GET-Anfrage, die zwei Slashes hintereinander enthält, eine entsprechende Fehlermeldung provozieren. Ebenso ist der Angriff durch einen Zugriff auf geschützte DOS-Resourcen möglich. Als Workaround wird empfohlen, den Zugriff auf den Sun Java System Application Server mittels Firewalling zu limitieren. Unter anderem wird der Fehler auch in den Datenbanken von SecurityFocus (BID 10424†), OSVDB (6446†) und Secunia (SA11730†) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Im hart umkämpften Software-Markt zählt vor allem eins als Verkaufsargument: Komfort für die Benutzer. Leider vergessen die Entwickler von Software oft, dass Komfort nicht auf Kosten der Sicherheit gehen darf. In diesem Fall wurde jedoch wahrscheinlich nur übersehen, dass unter gewissen Umständen eine zu "komfortable" Fehlermeldung ausgegeben wird, die einem Angreifer bei seinem Vorhaben nützen könnte.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
- end of life (old version)
Webseite
- Hersteller: https://www.oracle.com/sun/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.0VulDB Meta Temp Score: 4.9
VulDB Base Score: 5.0
VulDB Temp Score: 4.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: Unbekannt
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: FirewallStatus: 🔍
0-Day Time: 🔍
Patch: wwws.sun.com
Timeline
27.05.2004 🔍28.05.2004 🔍
28.05.2004 🔍
01.06.2004 🔍
28.06.2019 🔍
Quellen
Hersteller: oracle.comAdvisory: securityfocus.com⛔
Person: Marc Schoenefeld
Status: Nicht definiert
GCVE (VulDB): GCVE-100-674
SecurityFocus: 10424 - Sun Java System Application Server Remote Installation Path Disclosure Vulnerability
Secunia: 11730 - Sun Java System Application Server Path Disclosure Weakness, Not Critical
OSVDB: 6446 - Sun Java System Application Server HTTP Error Page Path Disclosure
Eintrag
Erstellt: 01.06.2004 12:32Aktualisierung: 28.06.2019 14:30
Anpassungen: 01.06.2004 12:32 (56), 28.06.2019 14:30 (2)
Komplett: 🔍
Cache ID: 216:6E1:103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.