检测

Apache Derby“BUILTIN”认证不安全的密码哈希

high Nessus 插件 ID 52536

语言:

简介

远程数据库服务器正在执行的软件已知容易遭到暴力密码破解。

描述

根据其自我报告的版本号码,在远程服务器上执行的 Apache Derby 安装对密码执行了转换,其在哈希前删除了多数字符的一半位数。这导致大量哈希冲突,使密码容易遭到暴力破解。此漏洞只会影响 BUILTIN 认证方法。

请注意,Nessus 并未测试该问题,而是只依赖于应用程序自我报告的版本号。

解决方案

升级到 Apache Derby 10.6.1.0 或更高版本。

另见

https://issues.apache.org/jira/browse/DERBY-4483

http://db.apache.org/derby/releases/release-10.6.1.0.html

http://marcellmajor.com/derbyhash.html

插件详情

严重性: High

ID: 52536

文件名: derby_10_6_1_0.nasl

版本: 1.5

类型: remote

系列: Databases

发布时间: 2011/3/3

最近更新时间: 2018/7/10

配置: 启用偏执模式

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.5

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

漏洞信息

必需的 KB 项: Settings/ParanoidReport

排除的 KB 项: Settings/disable_cgi_scanning

易利用性: No known exploits are available

补丁发布日期: 2010/5/19

漏洞发布日期: 2009/12/18

参考资料信息

CVE: CVE-2009-4269

BID: 42637

Secunia: 42948