Vulnerabilidad en Apache (CVE-2012-2760)
Gravedad CVSS v2.0:
BAJA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
25/07/2012
Última modificación:
29/08/2017
Descripción
mod_auth_openid antes de v0.7 para Apache utiliza permisos de lectura globales en /tmp/mod_auth_openid.db, lo que permite a los usuarios locales obtener los identificadores de sesión.
Impacto
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:findingscience:mod_auth_openid:*:*:*:*:*:apache:*:* | 0.6 (incluyendo) | |
| cpe:2.3:a:findingscience:mod_auth_openid:0.1:*:*:*:*:apache:*:* | ||
| cpe:2.3:a:findingscience:mod_auth_openid:0.2:*:*:*:*:apache:*:* | ||
| cpe:2.3:a:findingscience:mod_auth_openid:0.2.1:*:*:*:*:apache:*:* | ||
| cpe:2.3:a:findingscience:mod_auth_openid:0.3:*:*:*:*:apache:*:* | ||
| cpe:2.3:a:findingscience:mod_auth_openid:0.4:*:*:*:*:apache:*:* | ||
| cpe:2.3:a:findingscience:mod_auth_openid:0.5:*:*:*:*:apache:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://archives.neohapsis.com/archives/fulldisclosure/2012-05/0235.html
- http://packetstormsecurity.org/files/112991/Mod_Auth_OpenID-Session-Stealing.html
- http://secunia.com/advisories/49247
- http://www.exploit-db.com/exploits/18917
- http://www.mandriva.com/security/advisories?name=MDVSA-2012%3A114
- http://www.osvdb.org/82139
- http://www.securityfocus.com/bid/53661
- https://exchange.xforce.ibmcloud.com/vulnerabilities/75813
- https://github.com/bmuller/mod_auth_openid/blob/master/ChangeLog
- https://github.com/bmuller/mod_auth_openid/pull/30