One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8382016 |
| Date de publication | 2023-09-12 19:15:36 (vue: 2023-09-12 21:07:05) |
| Titre | CVE-2023-4501 |
| Texte | L'authentification de l'utilisateur avec le nom d'utilisateur et les informations d'identification de mot de passe est inefficace dans OpenText (Micro Focus) Visual Cobol, Cobol Server, Enterprise Developer et Enterprise Server (y compris les variantes de produit telles que Enterprise Test Server), Versions 7.0 Mises à jour des correctifs 19 et 20, 8.0 Patch Updates 8 8et 9 et 9.0 Patch Update 1, lorsque l'authentification basée sur LDAP est utilisée avec certaines configurations.Lorsque la vulnérabilité est active, l'authentification réussit avec n'importe quel nom d'utilisateur valide, que le mot de passe soit correct;Il peut également réussir avec un nom d'utilisateur non valide (et tout mot de passe).Cela permet à un attaquant avec accès au produit d'identiter tout utilisateur.
AMÉDICATIONS: Le problème est corrigé dans la prochaine mise à jour du correctif pour chaque produit affecté.Les superpositions de produits et les instructions de solution de contournement sont disponibles via le support OpenText.On pense que les configurations vulnérables sont rares.
Les administrateurs peuvent tester la vulnérabilité dans leurs installations en essayant de se connecter à un composant Visual COBOL ou un serveur d'entreprise tels que ESCWA à l'aide d'un nom d'utilisateur valide et d'un mot de passe incorrect.
User authentication with username and password credentials is ineffective in OpenText (Micro Focus) Visual COBOL, COBOL Server, Enterprise Developer, and Enterprise Server (including product variants such as Enterprise Test Server), versions 7.0 patch updates 19 and 20, 8.0 patch updates 8 and 9, and 9.0 patch update 1, when LDAP-based authentication is used with certain configurations. When the vulnerability is active, authentication succeeds with any valid username, regardless of whether the password is correct; it may also succeed with an invalid username (and any password). This allows an attacker with access to the product to impersonate any user. Mitigations: The issue is corrected in the upcoming patch update for each affected product. Product overlays and workaround instructions are available through OpenText Support. The vulnerable configurations are believed to be uncommon. Administrators can test for the vulnerability in their installations by attempting to sign on to a Visual COBOL or Enterprise Server component such as ESCWA using a valid username and incorrect password. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2023 4501 access active administrators affected allows also any are attacker attempting authentication available based believed can certain cobol component configurations correct; corrected credentials cve developer each enterprise escwa focus impersonate including incorrect ineffective installations instructions invalid issue ldap may micro mitigations: opentext overlays password patch product regardless server sign succeed succeeds such support test through uncommon upcoming update updates used user username using valid variants versions visual vulnerability vulnerable when whether workaround |
| Tags | Vulnerability |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.