BDU:2020-02066

Опубликовано: 20 янв. 2020

Источник: fstec

CVSS3: 3.8

CVSS2: 6.4

Описание

Уязвимость контроллера домена Red Hat IPA связана с отсутствием автоматического завершения всех сеансов после смены пароля. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность и целостность защищаемой информации

Вендор

Red Hat Inc.

Наименование ПО

Red Hat IPA

Версия ПО

- (Red Hat IPA)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)

Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,8)

Возможные меры по устранению уязвимости

1 Ограничить время текущего сеанса

2 Отключить все действующие сеансы перед сменой пароля

3 Ограничить использование программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-1703
CVE

3.8 Low

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

CVE-2020-1703

nvd

больше 5 лет назад

Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: This candidate was withdrawn by its CNA. Further investigation showed that it was not a security issue. Notes: Red Hat Product Security does not consider this as a security flaw. Password changes aren't expected to invalidate existing sessions. Though this is how Kerberos behaves: incrementing kvno will not invalidate any existing service tickets. This is not a concern because the lifetime on service tickets should be set appropriately (initially only a global, now also more finely configurable with the kdcpolicy plugin). This belief is reinforced by our use of mod_session: existing sessions there aren't terminated, but instead wait for expiration

3.8 Low

CVSS3

6.4 Medium

CVSS2