Objectivity/DB 管理用ツールに認証不備の問題
| Title |
Objectivity/DB 管理用ツールに認証不備の問題
|
| Summary |
Objectivity/DB の管理用ツール (例: ookillls, oostopams, etc) には、認証不備の問題が存在します。 Objectivity/DB が提供する複数の管理用ツール (例: ookillls, oostopams, etc) には、認証不備の問題が存在します。第三者がカスタマイズされたスクリプトを使用して、管理用ツールをエミュレートすることで、攻撃が可能です。
|
| Possible impacts |
遠隔の第三者によって、任意のコマンドを実行される可能性があります。また、データベース内の情報を閲覧されたり、改ざんされたりする可能性があります。 |
| Solution |
2011年1月14日現在、対策方法はありません。 [ワークアラウンドを実施する] 対策が公開されるまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 ・6779/tcp および 6780/tcp へのアクセスを制限する |
| Publication Date |
Jan. 14, 2011, midnight |
| Registration Date |
Feb. 4, 2011, 2:16 p.m. |
| Last Update |
Feb. 4, 2011, 2:16 p.m. |
|
CVSS2.0 : 危険
|
| Score |
7.5
|
| Vector |
AV:N/AC:L/Au:N/C:P/I:P/A:P |
Affected System
| Objectivity |
|
Objectivity/DB
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2011年02月04日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2011-0489
| Summary |
The server components in Objectivity/DB 10.0 do not require authentication for administrative commands, which allows remote attackers to modify data, obtain sensitive information, or cause a denial of service by sending requests over TCP to (1) the Lock Server or (2) the Advanced Multithreaded Server, as demonstrated by commands that are ordinarily sent by the (a) ookillls and (b) oostopams applications. NOTE: some of these details are obtained from third party information.
|
| Publication Date |
Jan. 19, 2011, 3:03 a.m. |
| Registration Date |
Jan. 28, 2021, 4:37 p.m. |
| Last Update |
Nov. 21, 2024, 10:24 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:objectivity:objectivity\/db:10.0:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List