🏠 Team IT Security News

TSecurity.de ist eine Online-Plattform, die sich auf die Bereitstellung von Informationen,alle 15 Minuten neuste Nachrichten, Bildungsressourcen und Dienstleistungen rund um das Thema IT-Sicherheit spezialisiert hat.
Ob es sich um aktuelle Nachrichten, Fachartikel, Blogbeiträge, Webinare, Tutorials, oder Tipps & Tricks handelt, TSecurity.de bietet seinen Nutzern einen umfassenden Überblick über die wichtigsten Aspekte der IT-Sicherheit in einer sich ständig verändernden digitalen Welt.

16.12.2023 - TIP: Wer den Cookie Consent Banner akzeptiert, kann z.B. von Englisch nach Deutsch übersetzen, erst Englisch auswählen dann wieder Deutsch!

Google Android Playstore Download Button für Team IT Security

800+ IT News als RSS Feed abonnieren

Thema auswählen:

📚 Apache Tomcat bis 6.0.45/7.0.70/8.0.36/8.5.4/9.0.0.M9 Realm Authentication User Information Disclosure

🕛 Zeit seit Veröffentlichung: 2778 Tage, 17 Stunden 21 Minuten
📆 Veröffentlicht am: 27.10.2016 um 02:00 Uhr
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com

Eine problematische Schwachstelle wurde in Apache Tomcat bis 6.0.45/7.0.70/8.0.36/8.5.4/9.0.0.M9 gefunden. Hierbei geht es um eine unbekannte Funktion der Komponente Realm Authentication. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle (User) ausgenutzt werden. Dies hat Einfluss auf die Vertraulichkeit.

Die Schwachstelle wurde am 27.10.2016 in Form eines bestätigten Advisories (Website) herausgegeben. Auf tomcat.apache.org kann das Advisory eingesehen werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-0762 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Ein Exploit zur Schwachstelle wird momentan etwa USD $1k-$2k kosten.

Ein Aktualisieren auf die Version 6.0.47, 7.0.72, 8.0.37, 8.5.5 oder 9.0.0.M10 vermag dieses Problem zu lösen.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1037144) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 13383, 13384, 13385 und 13386.

CVSSv3

Base Score: 5.3 [?]
Temp Score: 5.1 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N/E:X/RL:O/RC:C [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 4.3 (CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N) [?]
Temp Score: 3.7 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: High

CPE

Exploiting

Klasse: Information Disclosure
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Upgrade: Tomcat 6.0.47/7.0.72/8.0.37/8.5.5/9.0.0.M10

Timeline

27.10.2016 Advisory veröffentlicht
28.10.2016 SecurityTracker Eintrag erstellt
31.10.2016 VulDB Eintrag erstellt
31.10.2016 VulDB letzte Aktualisierung

Quellen

Advisory: tomcat.apache.org
Status: Bestätigt

CVE: CVE-2016-0762 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1037144 - Apache Tomcat Realm Authentication Timing Lets Remote Users Determine Valid Usernames on the Target System

Siehe auch: 13383, 13384, 13385, 13386, 13387, 93206, 93207, 93208, 93210

Eintrag

Erstellt: 31.10.2016
Eintrag: 76.8% komplett
...