Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-08709

Опубликовано: 20 нояб. 2012
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость библиотеки клиентского модуля Apache HttpClient средства Apache HttpComponents связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, подменить SSL-серверы с помощью специально сформированного сертификата

Вендор

Red Hat Inc.
Canonical Ltd.
Сообщество свободного программного обеспечения
IBM Corp.
Apache Software Foundation

Наименование ПО

Red Hat Enterprise Virtualization
Ubuntu
Red Hat Satellite
Jboss Operations Network
Jboss Fuse Service Works
Red Hat JBoss Data Virtualization
Debian GNU/Linux
Red Hat OpenShift Enterprise
Red Hat JBoss Data Grid
JBoss Enterprise Application Platform
Red Hat JBoss Enterprise Application Platform
IBM Storwize V5000
HttpClient
Red Hat Jboss Enterprise Web Platform
Red Hat Developer Toolset
Red Hat JBoss BPMS
Jboss Portal
Red Hat JBoss SOA Platform
Red Hat JBoss Web Framework Kit
Red Hat JBoss Web Platform
RHEV Manager
Jboss BRMS
Red Hat JBoss Enterprise Web Server
Jboss SOA Platform

Версия ПО

3 (Red Hat Enterprise Virtualization)
12.04 (Ubuntu)
15.04 (Ubuntu)
14.04 ESM (Ubuntu)
5.0 (Red Hat Satellite)
6.0 (Red Hat Satellite)
3.3 (Jboss Operations Network)
6.0 (Jboss Fuse Service Works)
6 (Red Hat JBoss Data Virtualization)
3.0 (Jboss Operations Network)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
2 (Red Hat OpenShift Enterprise)
6 (Red Hat JBoss Data Grid)
5 for RHEL 6 (JBoss Enterprise Application Platform)
5 for RHEL 5 (JBoss Enterprise Application Platform)
6 (Red Hat JBoss Enterprise Application Platform)
5 (Red Hat JBoss Enterprise Application Platform)
7.8.1.10 (IBM Storwize V5000)
от 4.0.0 до 4.2.2 включительно (HttpClient)
5 for RHEL 5 (Red Hat Jboss Enterprise Web Platform)
5 for RHEL 6 (Red Hat Jboss Enterprise Web Platform)
2.1 for RHEL 6 (Red Hat Developer Toolset)
6 (Red Hat JBoss BPMS)
6.1 (Red Hat JBoss Data Virtualization)
5.2 (JBoss Enterprise Application Platform)
5 for RHEL 4 (JBoss Enterprise Application Platform)
6.3 (JBoss Enterprise Application Platform)
6.3 for RHEL 5 (JBoss Enterprise Application Platform)
6.3 for RHEL 6 (JBoss Enterprise Application Platform)
6.3 for RHEL 7 (JBoss Enterprise Application Platform)
6.2 (Jboss Portal)
5.3 (Red Hat JBoss SOA Platform)
2.7 (Red Hat JBoss Web Framework Kit)
5.2 (Red Hat JBoss Web Platform)
3.5 (RHEV Manager)
2.1 (Red Hat Developer Toolset)
5 (Jboss BRMS)
4 (Red Hat JBoss Enterprise Application Platform)
1 (Red Hat JBoss Enterprise Web Server)
5 (Jboss Portal)
6 (Jboss Portal)
4.3 (Jboss SOA Platform)
5 (Jboss SOA Platform)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое средство
ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Virtualization 3
Canonical Ltd. Ubuntu 12.04
Canonical Ltd. Ubuntu 15.04
Canonical Ltd. Ubuntu 14.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Apache Software Foundation:
https://svn.apache.org/viewvc?view=revision&revision=1411705
Для Ubuntu:
https://ubuntu.com/security/notices/USN-2769-1
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2012-6153
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2012-6153
Для IBM Storwize V5000:
Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
- ограничение доступа из общедоступных сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 79%
0.01248
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2012-6153

ubuntu
больше 11 лет назад

http/conn/ssl/AbstractVerifier.java in Apache Commons HttpClient before 4.2.3 does not properly verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via a certificate with a subject that specifies a common name in a field that is not the CN field. NOTE: this issue exists because of an incomplete fix for CVE-2012-5783.

redhat логотип

CVE-2012-6153

redhat
больше 11 лет назад

http/conn/ssl/AbstractVerifier.java in Apache Commons HttpClient before 4.2.3 does not properly verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via a certificate with a subject that specifies a common name in a field that is not the CN field. NOTE: this issue exists because of an incomplete fix for CVE-2012-5783.

nvd логотип

CVE-2012-6153

nvd
больше 11 лет назад

http/conn/ssl/AbstractVerifier.java in Apache Commons HttpClient before 4.2.3 does not properly verify that the server hostname matches a domain name in the subject's Common Name (CN) or subjectAltName field of the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via a certificate with a subject that specifies a common name in a field that is not the CN field. NOTE: this issue exists because of an incomplete fix for CVE-2012-5783.

debian логотип

CVE-2012-6153

debian
больше 11 лет назад

http/conn/ssl/AbstractVerifier.java in Apache Commons HttpClient befor ...

github логотип

GHSA-2x83-r56g-cv47

github
больше 7 лет назад

Improper certificate validation in org.apache.httpcomponents:httpclient

EPSS

Процентиль: 79%
0.01248
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2