Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-0201

Опубликовано: 23 мая 2019
Источник: nvd
CVSS3: 5.9
CVSS2: 4.3
EPSS Низкий

Описание

An issue is present in Apache ZooKeeper 1.0.0 to 3.4.13 and 3.5.0-alpha to 3.5.4-beta. ZooKeeper’s getACL() command doesn’t check any permission when retrieves the ACLs of the requested node and returns all information contained in the ACL Id field as plaintext string. DigestAuthenticationProvider overloads the Id field with the hash value that is used for user authentication. As a consequence, if Digest Authentication is in use, the unsalted hash value will be disclosed by getACL() request for unauthenticated or unprivileged users.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:apache:activemq:5.15.9:*:*:*:*:*:*:*
cpe:2.3:a:apache:drill:1.16.0:*:*:*:*:*:*:*
cpe:2.3:a:apache:zookeeper:*:*:*:*:*:*:*:*
Версия от 1.0.0 (включая) до 3.4.13 (включая)
cpe:2.3:a:apache:zookeeper:3.5.0:-:*:*:*:*:*:*
cpe:2.3:a:apache:zookeeper:3.5.0:alpha:*:*:*:*:*:*
cpe:2.3:a:apache:zookeeper:3.5.0:rc0:*:*:*:*:*:*
cpe:2.3:a:apache:zookeeper:3.5.1:-:*:*:*:*:*:*
cpe:2.3:a:apache:zookeeper:3.5.1:alpha:*:*:*:*:*:*
cpe:2.3:a:apache:zookeeper:3.5.1:rc0:*:*:*:*:*:*
cpe:2.3:a:apache:zookeeper:3.5.1:rc1:*:*:*:*:*:*
cpe:2.3:a:apache:zookeeper:3.5.1:rc2:*:*:*:*:*:*
cpe:2.3:a:apache:zookeeper:3.5.1:rc3:*:*:*:*:*:*
cpe:2.3:a:apache:zookeeper:3.5.1:rc4:*:*:*:*:*:*
cpe:2.3:a:apache:zookeeper:3.5.2:-:*:*:*:*:*:*
cpe:2.3:a:apache:zookeeper:3.5.2:alpha:*:*:*:*:*:*
cpe:2.3:a:apache:zookeeper:3.5.2:rc0:*:*:*:*:*:*
cpe:2.3:a:apache:zookeeper:3.5.2:rc1:*:*:*:*:*:*
cpe:2.3:a:apache:zookeeper:3.5.3:-:*:*:*:*:*:*
cpe:2.3:a:apache:zookeeper:3.5.3:beta:*:*:*:*:*:*
cpe:2.3:a:apache:zookeeper:3.5.3:rc0:*:*:*:*:*:*
cpe:2.3:a:apache:zookeeper:3.5.3:rc1:*:*:*:*:*:*
cpe:2.3:a:apache:zookeeper:3.5.4:beta:*:*:*:*:*:*
Конфигурация 2

Одно из

cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
Конфигурация 3
cpe:2.3:a:redhat:fuse:1.0.0:*:*:*:*:*:*:*
Конфигурация 4

Одно из

cpe:2.3:a:oracle:goldengate_stream_analytics:*:*:*:*:*:*:*:*
Версия до 19.1.0.0.1 (исключая)
cpe:2.3:a:oracle:siebel_core_-_server_framework:*:*:*:*:*:*:*:*
Версия до 21.5 (включая)
cpe:2.3:a:oracle:timesten_in-memory_database:*:*:*:*:*:*:*:*
Версия до 18.1.3.1.0 (исключая)
Конфигурация 5

Одновременно

cpe:2.3:o:netapp:hci_bootstrap_os:-:*:*:*:*:*:*:*
cpe:2.3:h:netapp:hci_compute_node:-:*:*:*:*:*:*:*
Конфигурация 6
cpe:2.3:a:netapp:element_software:-:*:*:*:*:*:*:*

EPSS

Процентиль: 47%
0.00237
Низкий

5.9 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-862

Связанные уязвимости

ubuntu логотип

CVE-2019-0201

CVSS3: 5.9
ubuntu
около 6 лет назад

An issue is present in Apache ZooKeeper 1.0.0 to 3.4.13 and 3.5.0-alpha to 3.5.4-beta. ZooKeeper’s getACL() command doesn’t check any permission when retrieves the ACLs of the requested node and returns all information contained in the ACL Id field as plaintext string. DigestAuthenticationProvider overloads the Id field with the hash value that is used for user authentication. As a consequence, if Digest Authentication is in use, the unsalted hash value will be disclosed by getACL() request for unauthenticated or unprivileged users.

redhat логотип

CVE-2019-0201

CVSS3: 7.5
redhat
около 6 лет назад

An issue is present in Apache ZooKeeper 1.0.0 to 3.4.13 and 3.5.0-alpha to 3.5.4-beta. ZooKeeper’s getACL() command doesn’t check any permission when retrieves the ACLs of the requested node and returns all information contained in the ACL Id field as plaintext string. DigestAuthenticationProvider overloads the Id field with the hash value that is used for user authentication. As a consequence, if Digest Authentication is in use, the unsalted hash value will be disclosed by getACL() request for unauthenticated or unprivileged users.

debian логотип

CVE-2019-0201

CVSS3: 5.9
debian
около 6 лет назад

An issue is present in Apache ZooKeeper 1.0.0 to 3.4.13 and 3.5.0-alph ...

github логотип

GHSA-2hw2-62cp-p9p7

CVSS3: 5.9
github
около 6 лет назад

Access control bypass in Apache ZooKeeper

fstec логотип

BDU:2020-02563

CVSS3: 5.9
fstec
около 6 лет назад

Уязвимость реализации команды getACL() централизованной службы для поддержки информации о конфигурации, именования, обеспечения распределенной синхронизации и предоставления групповых служб Apache ZooKeeper, позволяющая нарушителю раскрыть некоторые значения хеш-функции

EPSS

Процентиль: 47%
0.00237
Низкий

5.9 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-862