Vulnerabilidad en crypt_blowfish en PHP, PostgreSQL y otros productos (CVE-2011-2483)
Severidad:
Pendiente de análisis
Type:
CWE-310
Errores criptográficos
Fecha de publicación:
25/08/2011
Última modificación:
23/04/2024
Descripción
crypt_blowfish en versiones anteriores a 1.1, como se utiliza en PHP en versiones anteriores a 5.3.7 en ciertas plataformas, PostgreSQL en versiones anteriores a 8.4.9 y otros productos, no maneja adecuadamente caracteres de 8-bit, lo que hace más fácil a atacantes dependientes de contexto determinar una contraseña en texto plano aprovechando el conocimiento del hash de una contraseña.
Impacto
Puntuación base 2.0
5.00
Severidad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:php:php:*:*:*:*:*:*:*:* | 5.3.7 (excluyendo) | |
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 8.2.0 (incluyendo) | 8.2.22 (excluyendo) |
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 8.3.0 (incluyendo) | 8.3.16 (excluyendo) |
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 8.4.0 (incluyendo) | 8.4.9 (excluyendo) |
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 9.0.0 (incluyendo) | 9.0.5 (excluyendo) |
cpe:2.3:a:openwall:crypt_blowfish:*:*:*:*:*:*:*:* | 1.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://freshmeat.net/projects/crypt_blowfish
- http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10705
- http://lists.apple.com/archives/security-announce/2012/Feb/msg00000.html
- http://lists.opensuse.org/opensuse-security-announce/2011-08/msg00015.html
- http://php.net/security/crypt_blowfish
- http://support.apple.com/kb/HT5130
- http://www.debian.org/security/2011/dsa-2340
- http://www.debian.org/security/2012/dsa-2399
- http://www.mandriva.com/security/advisories?name=MDVSA-2011%3A165
- http://www.mandriva.com/security/advisories?name=MDVSA-2011%3A178
- http://www.mandriva.com/security/advisories?name=MDVSA-2011%3A179
- http://www.mandriva.com/security/advisories?name=MDVSA-2011%3A180
- http://www.openwall.com/crypt/
- http://www.php.net/ChangeLog-5.php#5.3.7
- http://www.php.net/archive/2011.php#id2011-08-18-1
- http://www.postgresql.org/docs/8.4/static/release-8-4-9.html
- http://www.redhat.com/support/errata/RHSA-2011-1377.html
- http://www.redhat.com/support/errata/RHSA-2011-1378.html
- http://www.redhat.com/support/errata/RHSA-2011-1423.html
- http://www.securityfocus.com/bid/49241
- http://www.ubuntu.com/usn/USN-1229-1
- https://exchange.xforce.ibmcloud.com/vulnerabilities/69319