Vulnerabilidad en Hay un problema presente en Apache ZooKeeper (CVE-2019-0201)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
23/05/2019
Última modificación:
07/11/2023
Descripción
Hay un problema presente en Apache ZooKeeper 1.0.0 a 3.4.13 y 3.5.0-alpha a 3.5.4-beta. El comando getACL () de ZooKeeper no verifica ningún permiso cuando recupera las ACL del nodo solicitado y devuelve toda la información contenida en el campo Id. De ACL como cadena de texto sin formato. DigestAuthenticationProvider sobrecarga el campo Id con el valor hash que se utiliza para la autenticación del usuario. Como consecuencia, si la autenticación implícita está en uso, el valor hash sin sal será revelado por la solicitud getACL () para usuarios no autenticados o no privilegiados.
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:activemq:5.15.9:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:drill:1.16.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:zookeeper:*:*:*:*:*:*:*:* | 1.0.0 (incluyendo) | 3.4.13 (incluyendo) |
| cpe:2.3:a:apache:zookeeper:3.5.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:zookeeper:3.5.0:alpha:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:zookeeper:3.5.0:rc0:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:zookeeper:3.5.1:-:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:zookeeper:3.5.1:alpha:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:zookeeper:3.5.1:rc0:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:zookeeper:3.5.1:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:zookeeper:3.5.1:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:zookeeper:3.5.1:rc3:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:zookeeper:3.5.1:rc4:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:zookeeper:3.5.2:-:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:zookeeper:3.5.2:alpha:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/108427
- https://access.redhat.com/errata/RHSA-2019:3140
- https://access.redhat.com/errata/RHSA-2019:3892
- https://access.redhat.com/errata/RHSA-2019:4352
- https://issues.apache.org/jira/browse/ZOOKEEPER-1392
- https://lists.apache.org/thread.html/053d9ce4d579b02203db18545fee5e33f35f2932885459b74d1e4272%40%3Cissues.activemq.apache.org%3E
- https://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d82e2f07864b5108f%40%3Cdev.drill.apache.org%3E
- https://lists.apache.org/thread.html/5d9a1cf41a5880557bf680b7321b4ab9a4d206c601ffb15fef6f196a%40%3Ccommits.accumulo.apache.org%3E
- https://lists.apache.org/thread.html/b0656d359c7d40ec9f39c8cc61bca66802ef9a2a12ee199f5b0c1442%40%3Cdev.drill.apache.org%3E
- https://lists.apache.org/thread.html/f6112882e30a31992a79e0a8c31ac179e9d0de7c708de3a9258d4391%40%3Cissues.bookkeeper.apache.org%3E
- https://lists.apache.org/thread.html/f9bc3e55f4e28d1dcd1a69aae6d53e609a758e34d2869b4d798e13cc%40%3Cissues.drill.apache.org%3E
- https://lists.apache.org/thread.html/r40f32125c1d97ad82404cc918171d9e0fcf78e534256674e9da1eb4b%40%3Ccommon-issues.hadoop.apache.org%3E
- https://lists.debian.org/debian-lts-announce/2019/05/msg00033.html
- https://seclists.org/bugtraq/2019/Jun/13
- https://security.netapp.com/advisory/ntap-20190619-0001/
- https://www.debian.org/security/2019/dsa-4461
- https://www.oracle.com//security-alerts/cpujul2021.html
- https://www.oracle.com/security-alerts/cpujul2020.html
- https://www.oracle.com/security-alerts/cpuoct2020.html
- https://zookeeper.apache.org/security.html#CVE-2019-0201