VulDB: EMC RSA Access Manager fino 6.1 SP1 autenticazione debole [CVE-2012-2281]
Generale
scipID: 5638
Componente colpito: EMC RSA Access Manager fino 6.1 SP1
Data di pubblicazione: 02/07/2012
Rischio: 
problematico
Voce: 86.1% completa
Data di creazione: 10/07/2012
Ultimo aggiornamento: 03/09/2012
Riassunto
Un punto critico di livello problematico è stato rilevato in EMC RSA Access Manager fino 6.1 SP1. Da questa vulnerabilità è interessato una funzione sconosciuta. Per causa della manipolazione di un input sconosciuto per mezzo di una vulerabilità di classe autenticazione debole. Effetti sono da osservare per riservatezza e integrità.
La vulnerabilità è stata pubblicata in data 02/07/2012 con identificazione ESA-2012-026 con un advisory (Website). L’advisory è scaricabile da archives.neohapsis.com. Questo punto di criticità è identificato come CVE-2012-2281. L’attacco può avvenire nella rete. Per l’uso non è richiesta un’autentificazione. Non sono conosciuti dettagli tecnici ma un pubblico metodo di utilizzo è disponibile.
Immediatamente dopo, è stato diffuso un exploit.
L’aggiornamento alla versione 6.1 Service Pack 4 elimina questa vulnerabilità. Una possibile soluzione è stata pubblicata immediatamente dopo la pubblicazione della vulnerabilità. La vulnerabilità è documentata anche nel database OSVDB (83606) e Secunia (SA49757).CVSS
Base Score: 5.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Classe: Autenticazione debole
Locale: No
Remoto: Si
Disponibilità: Si
Accesso: Pubblico
Contromisure
Raccomandazione: Upgrade
Reaction Time: 0 giorni dalla segnalazione
0-Day Time: 0 giorni dalla scoperta
Exposure Time: 0 giorni dalla pubblicazione
Exploit Delay Time: 0 giorni dalla pubblicazione
Upgrade: RSA Access Manager 6.1 Service Pack 4
Timeline
19/04/2012 | CVE assegnato
02/07/2012 | Pubblicazione advisory
02/07/2012 | Pubblicazione exploit
02/07/2012 | Pubblicazione contromisura
07/07/2012 | OSVDB voce creata
10/07/2012 | VulDB voce creata
03/09/2012 | VulDB voce aggiornata
Fonti
Advisory: ESA-2012-026
OSVDB: 83606
CVE: CVE-2012-2281 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 49757
