Vulnerabilidad en 389-ds-base (CVE-2018-10871)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-312
Almacenamiento de información sensible en texto claro
Fecha de publicación:
18/07/2018
Última modificación:
17/06/2026
Descripción
389-ds-base en versiones anteriores a la 1.3.8.5 y 1.4.0.12 es vulnerable al almacenamiento en texto claro de información sensible. Por defecto, cuando los plugins Replica y/o retroChangeLog están habilitados, 389-ds-base almacena contraseñas en formato de texto plano en sus respectivos archivos changelog. Un atacante con los suficientes privilegios elevados, como root o Directory Manager, puede consultar esos archivos para recuperar contraseñas en texto plano.
Impacto
Puntuación base 3.x
3.80
Gravedad 3.x
BAJA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:fedoraproject:389_directory_server:*:*:*:*:*:*:*:* | 1.3.8.5 (excluyendo) | |
| cpe:2.3:a:fedoraproject:389_directory_server:*:*:*:*:*:*:*:* | 1.4.0.0 (incluyendo) | 1.4.0.12 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHSA-2019:3401
- https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-10871
- https://lists.debian.org/debian-lts-announce/2018/08/msg00032.html
- https://pagure.io/389-ds-base/issue/49789
- https://access.redhat.com/errata/RHSA-2019:3401
- https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-10871
- https://lists.debian.org/debian-lts-announce/2018/08/msg00032.html
- https://pagure.io/389-ds-base/issue/49789



