Hozzáférés megkerüléses sérülékenység az Apache Traffic Control szolgáltatásban

CH azonosító: CH-14699 Cím: Hozzáférés megkerüléses sérülékenység az Apache Traffic Control szolgáltatásban Angol cím: Authentication bypass vulnerability in Apache Traffic Control

Publikálás dátuma: 2019.09.10. Utolsó módosítás dátuma: 2019.09.10.


Leírás

A CVE-2019-12405 számon az Apache szerverekben nagyméretű tartalomszolgáltató hálózatok kiépítését lehetővé tevő Traffic Control szolgáltatás közepes kockázati besorolású sérülékenysége vált ismertté, melyen keresztül a támadó hozzáférést szerezhet a hálózati erőforrásokhoz a szükséges jelszavak ismerete nélkül.

Leírás forrása: Gyártói referencia: lists.apache.org Leírás utolsó módosítása: 2019.09.10.


Elemzés leírás

Nagyméretű tartalomszolgáltató hálózatok kiépítését – VOD stream, Live video stream – lehetővé tevő Apache Traffic Control szolgáltatás sérülékenysége vált ismertté. A sérülékenység azon szervereket érinti, ahol az API csatolókészletben az LDAP (speciális adatbázis nagyszámú lekérdezés gyors kezelésére) szolgáltatás engedélyezve van. A támadónak szüksége van egy létező felhasználói névre, ennek segítségével távoli elérésen keresztül hozzáférhet a hálózati erőforrásokhoz a szükséges jelszó ismerete nélkül.

Amennyiben a frissítés nem végezhető el azonnal, úgy az LDAP hitelesítés felfüggeszthető az ldap.conf file törlésével.

Érintett verziók: 3.0.0., 3.0.1

A gyártó honlapján közzétette a hiba javítását tartalmazó frissítéseket.

Elemzés leírás utolsó módosítása: 2019.09.10.


Hatás

CVSS3 Severity and Metrics

Base score: 4.6 (Közepes)
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N/E:U/RL:O/RC:C
Impact Score:
Exploitability Score:


Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): Low
Integrity Impact (I): None
Availability Impact (A): None

CVSS2 Severity and Metrics

Base score: (Nincs)
Vector:
Impact Subscore:
Exploitability Subscore:




Hivatkozások

CVE-2019-12405 - NVD CVE-2019-12405
Egyéb referencia: www.cybersecurity-help.cz
Egyéb referencia: seclists.org