Überarbeitungen
- 1.0:27. April 2020, Erstfassung
Zusammenfassung
APTARE Version 10.4 enthält Fehlerbehebungen für mehrere Sicherheitsprobleme. Es wird empfohlen, dass Veritas-Kunden die APTARE-Software auf die aktuelle Version, 10.4, aktualisieren.
Beschreibung
APTARE 10.4 schließt die folgenden Sicherheitslücken:
| Problem | Beschreibung | Schweregrad | Korrigierte Version |
|---|---|---|---|
|
1 |
Hoch |
10.4 |
|
|
2 |
Mittel |
10.4 |
|
|
3 |
Mittel |
10.4 |
|
|
4 |
Mittel |
10.4 |
Probleme
Problem Nr. 1
Veröffentlichung vertraulicher Informationen
- CVE-ID: CVE-2020-12874
- Schwergrad: Hoch
- CVSS v3.1 Base Score: 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
APTARE-Versionen vor 10.4 erlaubten den Zugriff auf vertrauliche Informationen ohne Authentifizierung.
Problem Nr. 2
Schwachstelle bei Authentifizierung
- CVE-ID: CVE-2020-12875
- Schweregrad: Mittel
- CVSS v3.1 Base Score: 6.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N)
APTARE-Versionen vor 10.4 beinhalteten Code, der den normalen Anmeldeprozess umging, wenn spezifische Authentifizierungsdaten vom Server bereitgestellt wurden.
Problem Nr. 3
Umgehung der Autorisierung
- CVE-ID: CVE-2020-12876
- Schweregrad: Mittel
- CVSS v3.1 Base Score: 6.3 (AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L)
APTARE-Versionen vor 10.4 führten keine adäquaten Autorisierungsprüfungen durch. Ein authentifizierter Benutzer konnte ohne Autorisierung auf vertrauliche Informationen oder Funktionalität zugreifen, indem er spezifische Parameter in der Anwendung manipulierte.
Problem Nr. 4
Veröffentlichung von Informationen
- CVE-ID: CVE-2020-12877
- Schweregrad: Mittel
- CVSS v3.1 Base Score: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
APTARE-Versionen vor 10.4 erlaubten Remote-Benutzern, unbeabsichtigt auf mehrere Dateien auf dem Server zuzugreifen. Diese Sicherheitslücke betraf nur Windows-Serverbereitstellungen.