cvelistv5 - CVE-2021-41033

CVE-2021-41033 (GCVE-0-2021-41033)

Vulnerability from cvelistv5

Published

2021-09-13 20:55

Modified

2024-08-04 02:59

Severity ?

CWE

CWE-300

Summary

In all released versions of Eclipse Equinox, at least until version 4.21 (September 2021), installation can be vulnerable to man-in-the-middle attack if using p2 repos that are HTTP; that can then be exploited to serve incorrect p2 metadata and entirely alter the local installation, particularly by installing plug-ins that may then run malicious code.

References

URL

	Vendor	Product	Version
	The Eclipse Foundation	Eclipse Equinox

cnvd-2022-05856

Vulnerability from cnvd

Title

Eclipse Equinox存在未明漏洞

Description

Eclipse Equinox是Eclipse基金会的一个子项目，提供OSGi R4.x 核心框架规范的认证实现。 Eclipse Equinox 4.21之前版本存在安全漏洞，该漏洞源于如果使用HTTP的p2存储库，攻击者可利用漏洞安装可能容易受到中间人攻击。

Severity

中

Patch Name

Eclipse Equinox存在未明漏洞的补丁

Patch Description

Eclipse Equinox是Eclipse基金会的一个子项目，提供OSGi R4.x 核心框架规范的认证实现。 Eclipse Equinox 4.21之前版本存在安全漏洞，该漏洞源于如果使用HTTP的p2存储库，攻击者可利用漏洞安装可能容易受到中间人攻击。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

Formal description

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页： https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688

Reference

https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688

Impacted products

Name
Eclipse Equinox <4.21

Show details on source website

JSON

To clipboard

{
  "cves": {
    "cve": {
      "cveNumber": "CVE-2021-41033"
    }
  },
  "description": "Eclipse Equinox\u662fEclipse\u57fa\u91d1\u4f1a\u7684\u4e00\u4e2a\u5b50\u9879\u76ee\uff0c\u63d0\u4f9bOSGi R4.x \u6838\u5fc3\u6846\u67b6\u89c4\u8303\u7684\u8ba4\u8bc1\u5b9e\u73b0\u3002\n\nEclipse Equinox 4.21\u4e4b\u524d\u7248\u672c\u5b58\u5728\u5b89\u5168\u6f0f\u6d1e\uff0c\u8be5\u6f0f\u6d1e\u6e90\u4e8e\u5982\u679c\u4f7f\u7528HTTP\u7684p2\u5b58\u50a8\u5e93\uff0c\u653b\u51fb\u8005\u53ef\u5229\u7528\u6f0f\u6d1e\u5b89\u88c5\u53ef\u80fd\u5bb9\u6613\u53d7\u5230\u4e2d\u95f4\u4eba\u653b\u51fb\u3002",
  "formalWay": "\u76ee\u524d\u5382\u5546\u5df2\u53d1\u5e03\u5347\u7ea7\u8865\u4e01\u4ee5\u4fee\u590d\u6f0f\u6d1e\uff0c\u8be6\u60c5\u8bf7\u5173\u6ce8\u5382\u5546\u4e3b\u9875\uff1a\r\nhttps://bugs.eclipse.org/bugs/show_bug.cgi?id=575688",
  "isEvent": "\u901a\u7528\u8f6f\u786c\u4ef6\u6f0f\u6d1e",
  "number": "CNVD-2022-05856",
  "openTime": "2022-01-23",
  "patchDescription": "Eclipse Equinox\u662fEclipse\u57fa\u91d1\u4f1a\u7684\u4e00\u4e2a\u5b50\u9879\u76ee\uff0c\u63d0\u4f9bOSGi R4.x \u6838\u5fc3\u6846\u67b6\u89c4\u8303\u7684\u8ba4\u8bc1\u5b9e\u73b0\u3002\r\n\r\nEclipse Equinox 4.21\u4e4b\u524d\u7248\u672c\u5b58\u5728\u5b89\u5168\u6f0f\u6d1e\uff0c\u8be5\u6f0f\u6d1e\u6e90\u4e8e\u5982\u679c\u4f7f\u7528HTTP\u7684p2\u5b58\u50a8\u5e93\uff0c\u653b\u51fb\u8005\u53ef\u5229\u7528\u6f0f\u6d1e\u5b89\u88c5\u53ef\u80fd\u5bb9\u6613\u53d7\u5230\u4e2d\u95f4\u4eba\u653b\u51fb\u3002\u76ee\u524d\uff0c\u4f9b\u5e94\u5546\u53d1\u5e03\u4e86\u5b89\u5168\u516c\u544a\u53ca\u76f8\u5173\u8865\u4e01\u4fe1\u606f\uff0c\u4fee\u590d\u4e86\u6b64\u6f0f\u6d1e\u3002",
  "patchName": "Eclipse Equinox\u5b58\u5728\u672a\u660e\u6f0f\u6d1e\u7684\u8865\u4e01",
  "products": {
    "product": "Eclipse Equinox \u003c4.21"
  },
  "referenceLink": "https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688",
  "serverity": "\u4e2d",
  "submitTime": "2021-09-15",
  "title": "Eclipse Equinox\u5b58\u5728\u672a\u660e\u6f0f\u6d1e"
}

ghsa-c5fh-3q27-g4r5

Vulnerability from github

Published

2022-05-24 22:01

Modified

2022-05-24 22:01

Details

Show details on source website

JSON

To clipboard

{
  "affected": [],
  "aliases": [
    "CVE-2021-41033"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-300"
    ],
    "github_reviewed": false,
    "github_reviewed_at": null,
    "nvd_published_at": "2021-09-13T21:15:00Z",
    "severity": "HIGH"
  },
  "details": "In all released versions of Eclipse Equinox, at least until version 4.21 (September 2021), installation can be vulnerable to man-in-the-middle attack if using p2 repos that are HTTP; that can then be exploited to serve incorrect p2 metadata and entirely alter the local installation, particularly by installing plug-ins that may then run malicious code.",
  "id": "GHSA-c5fh-3q27-g4r5",
  "modified": "2022-05-24T22:01:46Z",
  "published": "2022-05-24T22:01:46Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2021-41033"
    },
    {
      "type": "WEB",
      "url": "https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688"
    }
  ],
  "schema_version": "1.4.0",
  "severity": []
}

WID-SEC-W-2023-0027

Vulnerability from csaf_certbund

Published

2023-01-04 23:00

Modified

2023-02-23 23:00

Summary

IBM Tivoli Network Manager: Mehrere Schwachstellen

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

IBM Tivoli Network Manager ist eine Netzanalysesoftware für das Management komplexer Netze. Diese Software erfasst und verteilt Layer-2- und Layer-3-Netzdaten.

Angriff

Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in IBM Tivoli Network Manager ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuführen und nicht spezifizierte Auswirkungen zu verursachen.

Betroffene Betriebssysteme

- Linux - Sonstiges

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "IBM Tivoli Network Manager ist eine Netzanalysesoftware f\u00fcr das Management komplexer Netze. Diese Software erfasst und verteilt Layer-2- und Layer-3-Netzdaten.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in IBM Tivoli Network Manager ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Linux\n- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2023-0027 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-0027.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2023-0027 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0027"
      },
      {
        "category": "external",
        "summary": "IBM Security Bulletin 6958056 vom 2023-02-24",
        "url": "https://www.ibm.com/support/pages/node/6958056"
      },
      {
        "category": "external",
        "summary": "IBM Security Advisory vom 2023-01-04",
        "url": "https://www.ibm.com/support/pages/node/6852633"
      },
      {
        "category": "external",
        "summary": "IBM Security Advisory vom 2023-01-04",
        "url": "https://www.ibm.com/support/pages/node/6852613"
      },
      {
        "category": "external",
        "summary": "IBM Security Advisory vom 2023-01-04",
        "url": "https://www.ibm.com/support/pages/node/6852611"
      },
      {
        "category": "external",
        "summary": "IBM Security Advisory vom 2023-01-04",
        "url": "https://www.ibm.com/support/pages/node/6852609"
      }
    ],
    "source_lang": "en-US",
    "title": "IBM Tivoli Network Manager: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2023-02-23T23:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T17:40:51.947+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2023-0027",
      "initial_release_date": "2023-01-04T23:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2023-01-04T23:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        },
        {
          "date": "2023-02-23T23:00:00.000+00:00",
          "number": "2",
          "summary": "Neue Updates von IBM aufgenommen"
        }
      ],
      "status": "final",
      "version": "2"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_name",
                "name": "IBM Tivoli Network Manager \u003c= 4.2.0.15",
                "product": {
                  "name": "IBM Tivoli Network Manager \u003c= 4.2.0.15",
                  "product_id": "T024051",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:ibm:tivoli_network_manager:4.2.0.15"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "IBM Tivoli Network Manager 4.2.0",
                "product": {
                  "name": "IBM Tivoli Network Manager 4.2.0",
                  "product_id": "T025751",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:ibm:tivoli_network_manager:4.2.0"
                  }
                }
              }
            ],
            "category": "product_name",
            "name": "Tivoli Network Manager"
          }
        ],
        "category": "vendor",
        "name": "IBM"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2022-24823",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2022-24823"
    },
    {
      "cve": "CVE-2022-2048",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2022-2048"
    },
    {
      "cve": "CVE-2022-2047",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2022-2047"
    },
    {
      "cve": "CVE-2021-41033",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2021-41033"
    },
    {
      "cve": "CVE-2020-36518",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2020-36518"
    },
    {
      "cve": "CVE-2020-11987",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2020-11987"
    },
    {
      "cve": "CVE-2019-17566",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2019-17566"
    },
    {
      "cve": "CVE-2018-8013",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2018-8013"
    },
    {
      "cve": "CVE-2017-5662",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2017-5662"
    },
    {
      "cve": "CVE-2016-3506",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2016-3506"
    },
    {
      "cve": "CVE-2015-0250",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2015-0250"
    },
    {
      "cve": "CVE-2009-4521",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2009-4521"
    },
    {
      "cve": "CVE-2009-4269",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2009-4269"
    },
    {
      "cve": "CVE-2007-2378",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2007-2378"
    }
  ]
}

wid-sec-w-2023-0027

Vulnerability from csaf_certbund

Published

2023-01-04 23:00

Modified

2023-02-23 23:00

Summary

IBM Tivoli Network Manager: Mehrere Schwachstellen

Notes

Produktbeschreibung

IBM Tivoli Network Manager ist eine Netzanalysesoftware für das Management komplexer Netze. Diese Software erfasst und verteilt Layer-2- und Layer-3-Netzdaten.

Angriff

Betroffene Betriebssysteme

- Linux - Sonstiges

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "IBM Tivoli Network Manager ist eine Netzanalysesoftware f\u00fcr das Management komplexer Netze. Diese Software erfasst und verteilt Layer-2- und Layer-3-Netzdaten.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in IBM Tivoli Network Manager ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Linux\n- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2023-0027 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-0027.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2023-0027 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0027"
      },
      {
        "category": "external",
        "summary": "IBM Security Bulletin 6958056 vom 2023-02-24",
        "url": "https://www.ibm.com/support/pages/node/6958056"
      },
      {
        "category": "external",
        "summary": "IBM Security Advisory vom 2023-01-04",
        "url": "https://www.ibm.com/support/pages/node/6852633"
      },
      {
        "category": "external",
        "summary": "IBM Security Advisory vom 2023-01-04",
        "url": "https://www.ibm.com/support/pages/node/6852613"
      },
      {
        "category": "external",
        "summary": "IBM Security Advisory vom 2023-01-04",
        "url": "https://www.ibm.com/support/pages/node/6852611"
      },
      {
        "category": "external",
        "summary": "IBM Security Advisory vom 2023-01-04",
        "url": "https://www.ibm.com/support/pages/node/6852609"
      }
    ],
    "source_lang": "en-US",
    "title": "IBM Tivoli Network Manager: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2023-02-23T23:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T17:40:51.947+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2023-0027",
      "initial_release_date": "2023-01-04T23:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2023-01-04T23:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        },
        {
          "date": "2023-02-23T23:00:00.000+00:00",
          "number": "2",
          "summary": "Neue Updates von IBM aufgenommen"
        }
      ],
      "status": "final",
      "version": "2"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_name",
                "name": "IBM Tivoli Network Manager \u003c= 4.2.0.15",
                "product": {
                  "name": "IBM Tivoli Network Manager \u003c= 4.2.0.15",
                  "product_id": "T024051",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:ibm:tivoli_network_manager:4.2.0.15"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "IBM Tivoli Network Manager 4.2.0",
                "product": {
                  "name": "IBM Tivoli Network Manager 4.2.0",
                  "product_id": "T025751",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:ibm:tivoli_network_manager:4.2.0"
                  }
                }
              }
            ],
            "category": "product_name",
            "name": "Tivoli Network Manager"
          }
        ],
        "category": "vendor",
        "name": "IBM"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2022-24823",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2022-24823"
    },
    {
      "cve": "CVE-2022-2048",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2022-2048"
    },
    {
      "cve": "CVE-2022-2047",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2022-2047"
    },
    {
      "cve": "CVE-2021-41033",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2021-41033"
    },
    {
      "cve": "CVE-2020-36518",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2020-36518"
    },
    {
      "cve": "CVE-2020-11987",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2020-11987"
    },
    {
      "cve": "CVE-2019-17566",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2019-17566"
    },
    {
      "cve": "CVE-2018-8013",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2018-8013"
    },
    {
      "cve": "CVE-2017-5662",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2017-5662"
    },
    {
      "cve": "CVE-2016-3506",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2016-3506"
    },
    {
      "cve": "CVE-2015-0250",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2015-0250"
    },
    {
      "cve": "CVE-2009-4521",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2009-4521"
    },
    {
      "cve": "CVE-2009-4269",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2009-4269"
    },
    {
      "cve": "CVE-2007-2378",
      "notes": [
        {
          "category": "description",
          "text": "In IBM Tivoli Network Manager existieren mehrere Schwachstellen. Die Fehler bestehen in verschiedenen Komponenten von Drittanbietern wie Google Web Toolkit, Eclipse BIRT, Apache Batik, Apache Derby, Eclipse Equinox, FasterXML jackson-databind, Eclipse Jetty, Netty und JDBC. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, einen Denial-of-Service-Zustand herbeizuf\u00fchren und nicht spezifizierte Auswirkungen zu verursachen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion oder erh\u00f6hte Rechte."
        }
      ],
      "product_status": {
        "known_affected": [
          "T025751"
        ],
        "last_affected": [
          "T024051"
        ]
      },
      "release_date": "2023-01-04T23:00:00.000+00:00",
      "title": "CVE-2007-2378"
    }
  ]
}

gsd-2021-41033

Vulnerability from gsd

Modified

2023-12-13 01:23

Details

Aliases

CVE-2021-41033

Aliases

CVE-2021-41033

JSON

To clipboard

{
  "GSD": {
    "alias": "CVE-2021-41033",
    "description": "In all released versions of Eclipse Equinox, at least until version 4.21 (September 2021), installation can be vulnerable to man-in-the-middle attack if using p2 repos that are HTTP; that can then be exploited to serve incorrect p2 metadata and entirely alter the local installation, particularly by installing plug-ins that may then run malicious code.",
    "id": "GSD-2021-41033"
  },
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2021-41033"
      ],
      "details": "In all released versions of Eclipse Equinox, at least until version 4.21 (September 2021), installation can be vulnerable to man-in-the-middle attack if using p2 repos that are HTTP; that can then be exploited to serve incorrect p2 metadata and entirely alter the local installation, particularly by installing plug-ins that may then run malicious code.",
      "id": "GSD-2021-41033",
      "modified": "2023-12-13T01:23:27.562484Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "security@eclipse.org",
        "ID": "CVE-2021-41033",
        "STATE": "PUBLIC"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "Eclipse Equinox",
                    "version": {
                      "version_data": [
                        {
                          "version_affected": "?\u003c=",
                          "version_value": "4.21"
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "The Eclipse Foundation"
            }
          ]
        }
      },
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "In all released versions of Eclipse Equinox, at least until version 4.21 (September 2021), installation can be vulnerable to man-in-the-middle attack if using p2 repos that are HTTP; that can then be exploited to serve incorrect p2 metadata and entirely alter the local installation, particularly by installing plug-ins that may then run malicious code."
          }
        ]
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "lang": "eng",
                "value": "CWE-300"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688",
            "refsource": "CONFIRM",
            "url": "https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688"
          }
        ]
      }
    },
    "gitlab.com": {
      "advisories": [
        {
          "affected_range": "(,4.21)",
          "affected_versions": "All versions before 4.21",
          "cvss_v2": "AV:N/AC:M/Au:N/C:P/I:P/A:P",
          "cvss_v3": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H",
          "cwe_ids": [
            "CWE-1035",
            "CWE-937"
          ],
          "date": "2021-09-24",
          "description": "Eclipse Equinox installations can be vulnerable to man-in-the-middle attacks if using `p2` repos that are HTTP; that can then be exploited to serve incorrect `p2` metadata and entirely alter the local installation, particularly by installing plug-ins that may then run malicious code.",
          "fixed_versions": [
            "4.21"
          ],
          "identifier": "CVE-2021-41033",
          "identifiers": [
            "CVE-2021-41033"
          ],
          "not_impacted": "All versions starting from 4.21",
          "package_slug": "maven/org.glassfish.osgi-platforms/equinox",
          "pubdate": "2021-09-13",
          "solution": "Upgrade to version 4.21 or above.",
          "title": "Channel Accessible by Non-Endpoint",
          "urls": [
            "https://nvd.nist.gov/vuln/detail/CVE-2021-41033",
            "https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688"
          ],
          "uuid": "2d24fb6b-66a3-4400-9ec9-ca7a98924e2b"
        }
      ]
    },
    "nvd.nist.gov": {
      "configurations": {
        "CVE_data_version": "4.0",
        "nodes": [
          {
            "children": [],
            "cpe_match": [
              {
                "cpe23Uri": "cpe:2.3:a:eclipse:equinox:*:*:*:*:*:*:*:*",
                "cpe_name": [],
                "versionEndExcluding": "4.21",
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:eclipse:equinox:4.21:*:*:*:*:*:*:*",
                "cpe_name": [],
                "vulnerable": true
              }
            ],
            "operator": "OR"
          }
        ]
      },
      "cve": {
        "CVE_data_meta": {
          "ASSIGNER": "security@eclipse.org",
          "ID": "CVE-2021-41033"
        },
        "data_format": "MITRE",
        "data_type": "CVE",
        "data_version": "4.0",
        "description": {
          "description_data": [
            {
              "lang": "en",
              "value": "In all released versions of Eclipse Equinox, at least until version 4.21 (September 2021), installation can be vulnerable to man-in-the-middle attack if using p2 repos that are HTTP; that can then be exploited to serve incorrect p2 metadata and entirely alter the local installation, particularly by installing plug-ins that may then run malicious code."
            }
          ]
        },
        "problemtype": {
          "problemtype_data": [
            {
              "description": [
                {
                  "lang": "en",
                  "value": "NVD-CWE-noinfo"
                }
              ]
            }
          ]
        },
        "references": {
          "reference_data": [
            {
              "name": "https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688",
              "refsource": "CONFIRM",
              "tags": [
                "Vendor Advisory"
              ],
              "url": "https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688"
            }
          ]
        }
      },
      "impact": {
        "baseMetricV2": {
          "acInsufInfo": false,
          "cvssV2": {
            "accessComplexity": "MEDIUM",
            "accessVector": "NETWORK",
            "authentication": "NONE",
            "availabilityImpact": "PARTIAL",
            "baseScore": 6.8,
            "confidentialityImpact": "PARTIAL",
            "integrityImpact": "PARTIAL",
            "vectorString": "AV:N/AC:M/Au:N/C:P/I:P/A:P",
            "version": "2.0"
          },
          "exploitabilityScore": 8.6,
          "impactScore": 6.4,
          "obtainAllPrivilege": false,
          "obtainOtherPrivilege": false,
          "obtainUserPrivilege": false,
          "severity": "MEDIUM",
          "userInteractionRequired": false
        },
        "baseMetricV3": {
          "cvssV3": {
            "attackComplexity": "HIGH",
            "attackVector": "NETWORK",
            "availabilityImpact": "HIGH",
            "baseScore": 8.1,
            "baseSeverity": "HIGH",
            "confidentialityImpact": "HIGH",
            "integrityImpact": "HIGH",
            "privilegesRequired": "NONE",
            "scope": "UNCHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H",
            "version": "3.1"
          },
          "exploitabilityScore": 2.2,
          "impactScore": 5.9
        }
      },
      "lastModifiedDate": "2021-09-24T18:26Z",
      "publishedDate": "2021-09-13T21:15Z"
    }
  }
}

fkie_cve-2021-41033

Vulnerability from fkie_nvd

Published

2021-09-13 21:15

Modified

2024-11-21 06:25

Severity ?

8.1 (High) - CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Summary

References

	URL	Tags
	emo@eclipse.org	https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688	Vendor Advisory
	af854a3a-2127-422b-91ae-364da2661108	https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688	Vendor Advisory

Impacted products

	Vendor	Product	Version
	eclipse	equinox	*
	eclipse	equinox	4.21

JSON

To clipboard

{
  "configurations": [
    {
      "nodes": [
        {
          "cpeMatch": [
            {
              "criteria": "cpe:2.3:a:eclipse:equinox:*:*:*:*:*:*:*:*",
              "matchCriteriaId": "8A60D343-B2A3-435E-9F78-A85FEF5EB763",
              "versionEndExcluding": "4.21",
              "vulnerable": true
            },
            {
              "criteria": "cpe:2.3:a:eclipse:equinox:4.21:*:*:*:*:*:*:*",
              "matchCriteriaId": "87999DDA-C828-4298-8EA3-A43BD245DE04",
              "vulnerable": true
            }
          ],
          "negate": false,
          "operator": "OR"
        }
      ]
    }
  ],
  "cveTags": [],
  "descriptions": [
    {
      "lang": "en",
      "value": "In all released versions of Eclipse Equinox, at least until version 4.21 (September 2021), installation can be vulnerable to man-in-the-middle attack if using p2 repos that are HTTP; that can then be exploited to serve incorrect p2 metadata and entirely alter the local installation, particularly by installing plug-ins that may then run malicious code."
    },
    {
      "lang": "es",
      "value": "En todas las versiones liberadas de Eclipse Equinox, al menos hasta la versi\u00f3n 4.21 (septiembre de 2021), la instalaci\u00f3n puede ser vulnerable a un ataque de tipo man-in-the-middle si se usan repos p2 que son HTTP; esto puede entonces ser explotado para servir metadatos p2 incorrectos y alterar por completo la instalaci\u00f3n local, particularmente mediante la instalaci\u00f3n de plug-ins que luego pueden ejecutar c\u00f3digo malicioso"
    }
  ],
  "id": "CVE-2021-41033",
  "lastModified": "2024-11-21T06:25:19.170",
  "metrics": {
    "cvssMetricV2": [
      {
        "acInsufInfo": false,
        "baseSeverity": "MEDIUM",
        "cvssData": {
          "accessComplexity": "MEDIUM",
          "accessVector": "NETWORK",
          "authentication": "NONE",
          "availabilityImpact": "PARTIAL",
          "baseScore": 6.8,
          "confidentialityImpact": "PARTIAL",
          "integrityImpact": "PARTIAL",
          "vectorString": "AV:N/AC:M/Au:N/C:P/I:P/A:P",
          "version": "2.0"
        },
        "exploitabilityScore": 8.6,
        "impactScore": 6.4,
        "obtainAllPrivilege": false,
        "obtainOtherPrivilege": false,
        "obtainUserPrivilege": false,
        "source": "nvd@nist.gov",
        "type": "Primary",
        "userInteractionRequired": false
      }
    ],
    "cvssMetricV31": [
      {
        "cvssData": {
          "attackComplexity": "HIGH",
          "attackVector": "NETWORK",
          "availabilityImpact": "HIGH",
          "baseScore": 8.1,
          "baseSeverity": "HIGH",
          "confidentialityImpact": "HIGH",
          "integrityImpact": "HIGH",
          "privilegesRequired": "NONE",
          "scope": "UNCHANGED",
          "userInteraction": "NONE",
          "vectorString": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H",
          "version": "3.1"
        },
        "exploitabilityScore": 2.2,
        "impactScore": 5.9,
        "source": "nvd@nist.gov",
        "type": "Primary"
      }
    ]
  },
  "published": "2021-09-13T21:15:07.937",
  "references": [
    {
      "source": "emo@eclipse.org",
      "tags": [
        "Vendor Advisory"
      ],
      "url": "https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688"
    },
    {
      "source": "af854a3a-2127-422b-91ae-364da2661108",
      "tags": [
        "Vendor Advisory"
      ],
      "url": "https://bugs.eclipse.org/bugs/show_bug.cgi?id=575688"
    }
  ],
  "sourceIdentifier": "emo@eclipse.org",
  "vulnStatus": "Modified",
  "weaknesses": [
    {
      "description": [
        {
          "lang": "en",
          "value": "CWE-300"
        }
      ],
      "source": "emo@eclipse.org",
      "type": "Secondary"
    },
    {
      "description": [
        {
          "lang": "en",
          "value": "NVD-CWE-noinfo"
        }
      ],
      "source": "nvd@nist.gov",
      "type": "Primary"
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted

CVE-2021-41033 (GCVE-0-2021-41033)

Vulnerability from cvelistv5

cnvd-2022-05856

Vulnerability from cnvd

ghsa-c5fh-3q27-g4r5

Vulnerability from github

WID-SEC-W-2023-0027

Vulnerability from csaf_certbund

wid-sec-w-2023-0027

Vulnerability from csaf_certbund

gsd-2021-41033

Vulnerability from gsd

fkie_cve-2021-41033

Vulnerability from fkie_nvd

Tags

Sightings

Nomenclature