VulDB: Parallels Plesk 9.x psadump.log Information Disclosure
Allgemein
scipID: 5315
Betroffen: Parallels Plesk 9.x
Veröffentlicht: 26.04.2012 (Nicolas Krassas)
Risiko: 
problematisch
Eintrag: 82% komplett
Erstellt: 03.05.2012
Aktualisiert: 03.09.2012
Beschreibung
Eine problematische Schwachstelle wurde in Parallels Plesk 9.x gefunden. Davon betroffen ist eine unbekannte Funktion der Datei psadump.log. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für Vertraulichkeit und Integrität.
Die Schwachstelle wurde am 26.04.2012 durch Nicolas Krassas als 18785 in Form eines Exploits via Exploit-DB herausgegeben. Auf exploit-db.com kann das Advisory eingesehen werden. Eine Veröffentlichung wurde nicht in Zusammenarbeit mit Parallels angestrebt. Umgesetzt werden muss der Angriff lokal. Das Ausnutzen erfordert eine einfache Authentisierung. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.
Ein öffentlicher Exploit wurde durch Nicolas Krassas entwickelt und direkt nach dem Advisory veröffentlicht.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von OSVDB (81491) dokumentiert.
CVSS
Base Score: 6.0 (CVSS2#AV:L/AC:M/Au:S/C:C/I:C/A:N) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
CPE
- cpe:/a:parallels:plesk:9.x
Exploiting
Klasse: Information Disclosure
Lokal: Ja
Remote: Nein
Verfügbarkeit: Ja
Zugang: öffentlich
Autor: Nicolas Krassas
Exploit-DB: 18785
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden
Exploit Delay Time: 0 Tage seit bekannt
Timeline
26.04.2012 | Advisory veröffentlicht
26.04.2012 | Exploit veröffentlicht
28.04.2012 | OSVDB Eintrag erstellt
03.05.2012 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: 18785
Person: Nicolas Krassas
OSVDB: 81491
