Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-02563

Опубликовано: 23 мая 2019
Источник: fstec
CVSS3: 5.9
CVSS2: 5.4
EPSS Низкий

Описание

Уязвимость реализации команды getACL() централизованной службы для поддержки информации о конфигурации, именования, обеспечения распределенной синхронизации и предоставления групповых служб Apache ZooKeeper связана с ошибками обработки разрешений. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть некоторые значения хеш-функции

Вендор

ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
Novell Inc.
Red Hat Inc.
Apache Software Foundation
Oracle Corp.
ООО «Ред Софт»
АО «Концерн ВНИИНС»

Наименование ПО

Astra Linux Special Edition
Debian GNU/Linux
SUSE OpenStack Cloud
Jboss Fuse
JBoss A-MQ
HPE Helion Openstack
ZooKeeper
Red Hat JBoss Data Virtualization
Oracle TimesTen In-Memory Database
РЕД ОС
ОС ОН «Стрелец»

Версия ПО

1.5 «Смоленск» (Astra Linux Special Edition)
9 (Debian GNU/Linux)
8.0 (Debian GNU/Linux)
8 (SUSE OpenStack Cloud)
Crowbar 8 (SUSE OpenStack Cloud)
7 (Jboss Fuse)
10 (Debian GNU/Linux)
6.3 (Jboss Fuse)
6.3 (JBoss A-MQ)
8 (HPE Helion Openstack)
9 (SUSE OpenStack Cloud)
Crowbar 9 (SUSE OpenStack Cloud)
от 1.0.0 до 3.4.13 включительно (ZooKeeper)
от 3.5.0-alpha до 3.5.4-beta включительно (ZooKeeper)
6.4 (Red Hat JBoss Data Virtualization)
до 18.1.3.1.0 (Oracle TimesTen In-Memory Database)
7.3 (РЕД ОС)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
СУБД

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «Ред Софт» РЕД ОС 7.3
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache ZooKeeper:
https://issues.apache.org/jira/browse/ZOOKEEPER-1392
Для Debian GNU/Linux:
https://www.debian.org/security/2019/dsa-4461
https://lists.debian.org/debian-lts-announce/2019/05/msg00033.html
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-0201/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-0201
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html
Для Astra Linux:
Обновление программного обеспечения (пакета zookeeper) до 3.4.9-3+deb9u2 или более поздней версии
Для ОС ОН «Стрелец»:
Обновление программного обеспечения zookeeper до версии 3.4.9-3+deb9u2
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 47%
0.00237
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20240815-05

CVSS3: 8.1
redos
11 месяцев назад

Множественные уязвимости zookeeper

ubuntu логотип

CVE-2019-0201

CVSS3: 5.9
ubuntu
около 6 лет назад

An issue is present in Apache ZooKeeper 1.0.0 to 3.4.13 and 3.5.0-alpha to 3.5.4-beta. ZooKeeper’s getACL() command doesn’t check any permission when retrieves the ACLs of the requested node and returns all information contained in the ACL Id field as plaintext string. DigestAuthenticationProvider overloads the Id field with the hash value that is used for user authentication. As a consequence, if Digest Authentication is in use, the unsalted hash value will be disclosed by getACL() request for unauthenticated or unprivileged users.

redhat логотип

CVE-2019-0201

CVSS3: 7.5
redhat
около 6 лет назад

An issue is present in Apache ZooKeeper 1.0.0 to 3.4.13 and 3.5.0-alpha to 3.5.4-beta. ZooKeeper’s getACL() command doesn’t check any permission when retrieves the ACLs of the requested node and returns all information contained in the ACL Id field as plaintext string. DigestAuthenticationProvider overloads the Id field with the hash value that is used for user authentication. As a consequence, if Digest Authentication is in use, the unsalted hash value will be disclosed by getACL() request for unauthenticated or unprivileged users.

nvd логотип

CVE-2019-0201

CVSS3: 5.9
nvd
около 6 лет назад

An issue is present in Apache ZooKeeper 1.0.0 to 3.4.13 and 3.5.0-alpha to 3.5.4-beta. ZooKeeper’s getACL() command doesn’t check any permission when retrieves the ACLs of the requested node and returns all information contained in the ACL Id field as plaintext string. DigestAuthenticationProvider overloads the Id field with the hash value that is used for user authentication. As a consequence, if Digest Authentication is in use, the unsalted hash value will be disclosed by getACL() request for unauthenticated or unprivileged users.

debian логотип

CVE-2019-0201

CVSS3: 5.9
debian
около 6 лет назад

An issue is present in Apache ZooKeeper 1.0.0 to 3.4.13 and 3.5.0-alph ...

EPSS

Процентиль: 47%
0.00237
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2