๐ CA Single Sign-On bis 12.52 Domino Web Agent erweiterte Rechte
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 81523
Betroffen: CA Single Sign-On bis 12.52
Veröffentlicht: 24.03.2016
Risiko: kritisch
Erstellt: 24.03.2016
Eintrag: 66.2% komplett
Beschreibung
In CA Single Sign-On bis 12.52 wurde eine kritische Schwachstelle entdeckt. Dabei geht es um eine unbekannte Funktion der Komponente Domino Web Agent. Mit der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
The Domino web agent in CA Single Sign-On (aka SSO, formerly SiteMinder) R6, R12.0 before SP3 CR13, R12.0J before SP3 CR1.2, R12.5 before CR5, R12.51 before CR4, and R12.52 before SP1 CR3 allows remote attackers to cause a denial of service (daemon crash) or obtain sensitive information via a crafted request.
Die Schwachstelle wurde am 24.03.2016 öffentlich gemacht. Die Verwundbarkeit wird als CVE-2015-6853 geführt. Der Angriff kann über das Netzwerk angegangen werden. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen. Von weiterem Interesse können die folgenden Einträge sein: 81524.CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 5.2 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:ca:single_sign-on:12.0
- cpe:/a:ca:single_sign-on:12.1
- cpe:/a:ca:single_sign-on:12.2
- cpe:/a:ca:single_sign-on:12.3
- cpe:/a:ca:single_sign-on:12.4
- cpe:/a:ca:single_sign-on:12.5
- cpe:/a:ca:single_sign-on:12.6
- cpe:/a:ca:single_sign-on:12.7
- cpe:/a:ca:single_sign-on:12.8
- cpe:/a:ca:single_sign-on:12.9
- cpe:/a:ca:single_sign-on:12.10
- cpe:/a:ca:single_sign-on:12.11
- cpe:/a:ca:single_sign-on:12.12
- cpe:/a:ca:single_sign-on:12.13
- cpe:/a:ca:single_sign-on:12.14
- cpe:/a:ca:single_sign-on:12.15
- cpe:/a:ca:single_sign-on:12.16
- cpe:/a:ca:single_sign-on:12.17
- cpe:/a:ca:single_sign-on:12.18
- cpe:/a:ca:single_sign-on:12.19
- cpe:/a:ca:single_sign-on:12.20
- cpe:/a:ca:single_sign-on:12.21
- cpe:/a:ca:single_sign-on:12.22
- cpe:/a:ca:single_sign-on:12.23
- cpe:/a:ca:single_sign-on:12.24
- cpe:/a:ca:single_sign-on:12.25
- cpe:/a:ca:single_sign-on:12.26
- cpe:/a:ca:single_sign-on:12.27
- cpe:/a:ca:single_sign-on:12.28
- cpe:/a:ca:single_sign-on:12.29
- cpe:/a:ca:single_sign-on:12.30
- cpe:/a:ca:single_sign-on:12.31
- cpe:/a:ca:single_sign-on:12.32
- cpe:/a:ca:single_sign-on:12.33
- cpe:/a:ca:single_sign-on:12.34
- cpe:/a:ca:single_sign-on:12.35
- cpe:/a:ca:single_sign-on:12.36
- cpe:/a:ca:single_sign-on:12.37
- cpe:/a:ca:single_sign-on:12.38
- cpe:/a:ca:single_sign-on:12.39
- cpe:/a:ca:single_sign-on:12.40
- cpe:/a:ca:single_sign-on:12.41
- cpe:/a:ca:single_sign-on:12.42
- cpe:/a:ca:single_sign-on:12.43
- cpe:/a:ca:single_sign-on:12.44
- cpe:/a:ca:single_sign-on:12.45
- cpe:/a:ca:single_sign-on:12.46
- cpe:/a:ca:single_sign-on:12.47
- cpe:/a:ca:single_sign-on:12.48
- cpe:/a:ca:single_sign-on:12.49
- cpe:/a:ca:single_sign-on:12.50
- cpe:/a:ca:single_sign-on:12.51
- cpe:/a:ca:single_sign-on:12.52
Exploiting
Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $10k-$25k (0-day) / $5k-$10k (Heute)
Gegenmassnahmen
Empfehlung: Patch
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Timeline
24.03.2016 | Advisory veröffentlicht
24.03.2016 | VulDB Eintrag erstellt
24.03.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-6853 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 81524
...