VulDB: EMC RSA Authentication Manager bis 7.1 Cross Site Scripting
Allgemein
scipID: 5665
Betroffen: EMC RSA Authentication Manager bis 7.1
Veröffentlicht: 11.07.2012
Risiko: 
problematisch
Eintrag: 82.8% komplett
Erstellt: 23.07.2012
Beschreibung
In EMC RSA Authentication Manager bis 7.1 wurde eine problematische Schwachstelle gefunden. Das betrifft eine unbekannte Funktion. Durch die Manipulation mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Hiermit lässt sich Programmcode ausführen. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 11.07.2012 als ESA-2012-023 in Form eines Advisorys (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter archives.neohapsis.com. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen. Dieser kann von knowledge.rsasecurity.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. EMC hat demnach unmittelbar reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (83762) und Secunia (SA49927) dokumentiert.CVSS
Base Score: 7.5 (CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Cross Site Scripting
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Gegenmassnahmen
Empfehlung: Patch
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Patch: knowledge.rsasecurity.com
Timeline
11.07.2012 | Advisory veröffentlicht
11.07.2012 | Gegenmassnahme veröffentlicht
13.07.2012 | OSVDB Eintrag erstellt
23.07.2012 | VulDB Eintrag erstellt
23.07.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: ESA-2012-023
- Letzte Einträge
- EMC RSA Authentication API Encryption Key Information Disclosure
- Cisco Secure Access Control System Web Interface schwache Authentisierung
- Python ssl.match_hostname() Denial of Service
- Mozilla Firefox/Thunderbird nsContentUtils::RemoveScriptBlocker Pufferüberlauf
- Mozilla Firefox/Thunderbird nsFrameList::FirstChild Pufferüberlauf
- Statistiken
- Archiv
