Apache Tomcat 5.5.35/6.0.35/7.0.28 HTTP Digest Authentication Implementation कमजोर प्रमाणीकरण

| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 7.1 | $0-$5k | 0.00 |
सारांश
एक सुरक्षा कमजोरी, जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Apache Tomcat 5.5.35/6.0.35/7.0.28 में पाई गई है। प्रभावित होता है कोई अज्ञात फ़ंक्शन घटक HTTP Digest Authentication Implementation का। यह संशोधन कमजोर प्रमाणीकरण का कारण बन सकता है। इस भेद्यता को CVE-2012-5887 के रूप में ट्रेड किया जाता है। अतिरिक्त रूप से, एक एक्सप्लॉइट मौजूद है. प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा।
विवरण
एक सुरक्षा कमजोरी, जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Apache Tomcat 5.5.35/6.0.35/7.0.28 में पाई गई है। प्रभावित होता है कोई अज्ञात फ़ंक्शन घटक HTTP Digest Authentication Implementation का। यह संशोधन कमजोर प्रमाणीकरण का कारण बन सकता है। CWE के माध्यम से समस्या घोषित करने पर CWE-287 मिलता है। इस कमजोरी को प्रकाशित किया गया था 27/08/2012 के साथ Tomcat Security Team के रूप में 1377807 के रूप में Changelog Entry (वेबसाइट). सलाह svn.apache.org पर डाउनलोड हेतु साझा की गई है। विक्रेता के साथ मिलकर सार्वजनिक रिलीज़ का समन्वय किया गया है।
इस भेद्यता को CVE-2012-5887 के रूप में ट्रेड किया जाता है। 17/11/2012 को CVE असाइन किया गया था. कोई टेक्निकल डिटेल्स उपलब्ध नहीं हैं. इस भेद्यता की लोकप्रियता सामान्य स्तर से नीचे है। अतिरिक्त रूप से, एक एक्सप्लॉइट मौजूद है. इस एक्सप्लॉइट की जानकारी सार्वजनिक कर दी गई है और इसका इस्तेमाल किया जा सकता है। फिलहाल एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है।
यह अवधारणा प्रमाण के रूप में घोषित है। 0-डे के रूप में इसका अनुमानित अंडरग्राउंड मूल्य लगभग $5k-$25k था. Nessus वल्नरेबिलिटी स्कैनर 66665 आईडी के साथ एक प्लगइन उपलब्ध कराता है। यह Scientific Linux Local Security Checks परिवार को सौंपा गया है। यह पोर्ट 0 पर निर्भर है. वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 86492 प्लगइन से कर सकता है (Apache Tomcat Multiple Vulnerabilities).
इस समस्या का समाधान 5.5.36, 6.0.36, 7.0.30, संस्करण में अपग्रेड करने से किया जा सकता है। आप tomcat.apache.org से अपडेटेड वर्शन डाउनलोड कर सकते हैं। प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा।
यह कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी उपलब्ध है: SecurityFocus (BID 56403), X-Force (79809), Secunia (SA51371), Vulnerability Center (SBV-37446) , Tenable (66665).
उत्पाद
प्रकार
विक्रेता
नाम
संस्करण
लाइसेंस
वेबसाइट
- विक्रेता: https://www.apache.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 8.2VulDB मेटा अस्थायी स्कोर: 7.1
VulDB मूल स्कोर: 8.2
VulDB अस्थायी स्कोर: 7.1
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
वर्ग: कमजोर प्रमाणीकरणCWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔍
प्रवेश: सार्वजनिक
स्थिति: अवधारणा प्रमाण
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
Nessus ID: 66665
Nessus नाम: Scientific Linux Security Update : tomcat6 on SL6.x (noarch)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Port: 🔍
OpenVAS ID: 892725
OpenVAS नाम: Debian Security Advisory DSA 2725-1 (tomcat6 - several vulnerabilities
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍
Qualys ID: 🔍
Qualys नाम: 🔍
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: अपग्रेडस्थिति: 🔍
0-दिवसीय समय: 🔍
अपग्रेड: Tomcat 5.5.36, 6.0.36, 7.0.30,
समयरेखा
27/08/2012 🔍06/11/2012 🔍
17/11/2012 🔍
17/11/2012 🔍
17/11/2012 🔍
20/11/2012 🔍
22/11/2012 🔍
26/11/2012 🔍
28/11/2012 🔍
29/05/2013 🔍
30/10/2025 🔍
स्रोत
विक्रेता: apache.orgसलाह: 1377807
संगठन: Tomcat Security Team
स्थिति: पुष्टि की गई
पुष्टि: 🔍
समन्वित: 🔍
CVE: CVE-2012-5887 (🔍)
GCVE (CVE): GCVE-0-2012-5887
GCVE (VulDB): GCVE-100-6997
OVAL: 🔍
IAVM: 🔍
X-Force: 79809 - Apache Tomcat DIGEST security bypass, Medium Risk
SecurityFocus: 56403 - Apache Tomcat DIGEST Authentication Multiple Security Weaknesses
Secunia: 51371 - Ubuntu update for tomcat6, Moderately Critical
OSVDB: 87579
Vulnerability Center: 37446 - Apache Tomcat Remote Security Bypass due to HTTP Digest Improperly Checking for Stale Nonce Values, Medium
scip Labs: https://www.scip.ch/en/?labs.20161013
यह भी देखें: 🔍
प्रविष्टि
बनाया गया: 26/11/2012 10:43 AMअद्यतनित: 30/10/2025 04:30 PM
परिवर्तन: 26/11/2012 10:43 AM (90), 22/04/2017 09:08 AM (4), 19/04/2021 02:02 PM (3), 30/10/2025 04:30 PM (16)
पूर्ण: 🔍
संपादक:
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें