Vulnerabilidad en el registro de la contraseña de Directory Manager en 389 Directory Server y HP-UX Directory Server (CVE-2010-3282)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-312
Almacenamiento de información sensible en texto claro
Fecha de publicación:
09/01/2020
Última modificación:
21/11/2024
Descripción
389 Directory Server versiones anteriores a 1.2.7.1 (también se conoce como Red Hat Directory Server versión 8.2) y HP-UX Directory Server versiones anteriores a B.08.10.03, cuando el registro de auditoría está habilitado, registra la contraseña de Directory Manager (nsslapd-rootpw) en texto sin cifrar cuando se cambia cn=config:nsslapd-rootpw, que podría permitir a usuarios locales obtener información confidencial mediante la lectura del registro.
Impacto
Puntuación base 3.x
3.30
Gravedad 3.x
BAJA
Puntuación base 2.0
1.90
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:hp:hp-ux_directory_server:*:*:*:*:*:*:*:* | b.08.10.03 (excluyendo) | |
| cpe:2.3:a:redhat:redhat_directory_server:*:*:*:*:*:hp-ux:*:* | b.08.00.02 (excluyendo) | |
| cpe:2.3:a:fedoraproject:389_directory_server:*:*:*:*:*:*:*:* | 1.2.7.1 (excluyendo) | |
| cpe:2.3:a:redhat:directory_server:8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://oval.mitre.org/repository/data/getDef?id=oval%3Aorg.mitre.oval%3Adef%3A6914
- https://bugzilla.redhat.com/show_bug.cgi?id=625950
- https://git.fedorahosted.org/cgit/389/ds.git/commit/?id=d38ae06
- https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-c02522633&docLocale=en_US
- http://oval.mitre.org/repository/data/getDef?id=oval%3Aorg.mitre.oval%3Adef%3A6914
- https://bugzilla.redhat.com/show_bug.cgi?id=625950
- https://git.fedorahosted.org/cgit/389/ds.git/commit/?id=d38ae06
- https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-c02522633&docLocale=en_US