| タイトル | Apache Geronimo の LoginModule 実装における認証要求を回避される脆弱性 |
|---|---|
| 概要 | Apache Geronimo の LoginModule 実装のログインメソッドには、ログインに失敗した際、FailedLoginException のエラー処理を適切に行わないため、認証要求を回避し、任意のモジュールを展開され、コマンドラインのデプロイヤを利用して空のユーザ名およびパスワードを送信することにより管理アクセス権を取得される脆弱性が存在します。 |
| 想定される影響 | 第三者により、認証要求を回避し、任意のモジュールを展開され、コマンドラインのデプロイヤを利用して空のユーザ名およびパスワードを送信することにより管理アクセス権を取得される可能性があります。 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2007年8月13日0:00 |
| 登録日 | 2010年7月22日20:51 |
| 最終更新日 | 2010年7月22日20:51 |
| CVSS2.0 : 危険 | |
| スコア | 10 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:C/I:C/A:C |
| Apache Software Foundation |
| Apache Geronimo 2.0 から 2.1 |
| サイバートラスト株式会社 |
| Asianux Server 3 (x86) |
| Asianux Server 3 (x86-64) |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2010年07月22日] 掲載 |
2018年2月17日10:37 |
| 概要 | The login method in LoginModule implementations in Apache Geronimo 2.0 does not throw FailedLoginException for failed logins, which allows remote attackers to bypass authentication requirements, deploy arbitrary modules, and gain administrative access by sending a blank username and password with the command line deployer in the deployment module. |
|---|---|
| 公表日 | 2007年8月28日8:17 |
| 登録日 | 2021年1月29日14:19 |
| 最終更新日 | 2008年9月6日6:28 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:apache:geronimo:2.0:*:*:*:*:*:*:* | |||||