Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-02629

Опубликовано: 05 июл. 2012
Источник: fstec
CVSS3: 3.7
CVSS2: 4.3
EPSS Низкий

Описание

Уязвимость функции crypt_des системы управления базами данных PostgreSQL, операционной системы FreeBSD, интерпретатора языка программирования PHP связана с ошибками при обработке полного открытого текстового пароля, если этот пароль содержит символ 0x80. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

Вендор

Red Hat Inc.
Canonical Ltd.
Novell Inc.
Сообщество свободного программного обеспечения
PostgreSQL Global Development Group
PHP Group

Наименование ПО

Red Hat Enterprise Linux
Ubuntu
OpenSUSE Leap
Debian GNU/Linux
PostgreSQL
PHP

Версия ПО

5 (Red Hat Enterprise Linux)
6 (Red Hat Enterprise Linux)
12.04 (Ubuntu)
15.0 (OpenSUSE Leap)
11.10 (Ubuntu)
11.04 (Ubuntu)
6 (Debian GNU/Linux)
10.04 (Ubuntu)
8.3 (PostgreSQL)
8.4 (PostgreSQL)
9.0 (PostgreSQL)
9.1 (PostgreSQL)
8.04 (Ubuntu)
5.3.6 (PHP)
5.3.5 (PHP)
5.2.10 (PHP)
5.2.13 (PHP)
5.2.4 (PHP)
5.2.3 (PHP)
5.1.1 (PHP)
5.1.0 (PHP)
5.1.6 (PHP)
5.0.0beta4 (PHP)
5.0.0beta3 (PHP)
5.0.0beta1 (PHP)
4.3.10 (PHP)
4.3.6 (PHP)
4.3.5 (PHP)
4.3.7 (PHP)
4.1.2 (PHP)
4.1.1 (PHP)
4.4.9 (PHP)
4.4.1 (PHP)
4.0beta 4 patch1 (PHP)
4.0beta3 (PHP)
4.0.7 (PHP)
3.0.11 (PHP)
3.0.18 (PHP)
3.0.4 (PHP)
3.0.8 (PHP)
3.0.5 (PHP)
5.3.11 (PHP)
5.3.4 (PHP)
5.3.9 (PHP)
5.3.2 (PHP)
5.3.10 (PHP)
5.2.5 (PHP)
5.2.11 (PHP)
5.2.14 (PHP)
5.2.1 (PHP)
5.1.4 (PHP)
5.1.5 (PHP)
5.0.0beta2 (PHP)
5.0.2 (PHP)

Тип ПО

Операционная система
СУБД
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 5
Red Hat Inc. Red Hat Enterprise Linux 6
Canonical Ltd. Ubuntu 12.04
Novell Inc. OpenSUSE Leap 15.0
Canonical Ltd. Ubuntu 11.10
Canonical Ltd. Ubuntu 11.04
Сообщество свободного программного обеспечения Debian GNU/Linux 6
Canonical Ltd. Ubuntu 10.04
Canonical Ltd. Ubuntu 8.04

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)

Возможные меры по устранению уязвимости

Использование рекомендаций
Для FreeBSD:
http://security.freebsd.org/advisories/FreeBSD-SA-12:02.crypt.asc
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2012-2143
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2012-2143.xml
Для Ubuntu:
https://ubuntu.com/security/CVE-2012-2143
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2012-2143
Для PostgreSQL:
https://www.postgresql.org/docs/9.1/release-9-1-4.html
https://www.postgresql.org/docs/9.0/release-9-0-8.html
https://www.postgresql.org/docs/8.4/release-8-4-12.html
https://www.postgresql.org/docs/8.3/release-8-3-19.html
Для PHP:
http://git.php.net/?p=php-src.git;a=commit;h=aab49e934de1fff046e659cbec46e3d053b41c34

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 91%
0.07349
Низкий

3.7 Low

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2012-2143

ubuntu
почти 13 лет назад

The crypt_des (aka DES-based crypt) function in FreeBSD before 9.0-RELEASE-p2, as used in PHP, PostgreSQL, and other products, does not process the complete cleartext password if this password contains a 0x80 character, which makes it easier for context-dependent attackers to obtain access via an authentication attempt with an initial substring of the intended password, as demonstrated by a Unicode password.

redhat логотип

CVE-2012-2143

redhat
около 13 лет назад

The crypt_des (aka DES-based crypt) function in FreeBSD before 9.0-RELEASE-p2, as used in PHP, PostgreSQL, and other products, does not process the complete cleartext password if this password contains a 0x80 character, which makes it easier for context-dependent attackers to obtain access via an authentication attempt with an initial substring of the intended password, as demonstrated by a Unicode password.

nvd логотип

CVE-2012-2143

nvd
почти 13 лет назад

The crypt_des (aka DES-based crypt) function in FreeBSD before 9.0-RELEASE-p2, as used in PHP, PostgreSQL, and other products, does not process the complete cleartext password if this password contains a 0x80 character, which makes it easier for context-dependent attackers to obtain access via an authentication attempt with an initial substring of the intended password, as demonstrated by a Unicode password.

debian логотип

CVE-2012-2143

debian
почти 13 лет назад

The crypt_des (aka DES-based crypt) function in FreeBSD before 9.0-REL ...

github логотип

GHSA-6rxj-38xv-j69g

github
около 3 лет назад

The crypt_des (aka DES-based crypt) function in FreeBSD before 9.0-RELEASE-p2, as used in PHP, PostgreSQL, and other products, does not process the complete cleartext password if this password contains a 0x80 character, which makes it easier for context-dependent attackers to obtain access via an authentication attempt with an initial substring of the intended password, as demonstrated by a Unicode password.

EPSS

Процентиль: 91%
0.07349
Низкий

3.7 Low

CVSS3

4.3 Medium

CVSS2