Vulnerability CVE-2012-0647 - CERT Civis.Net

Vulnerability Name:

CVE-2012-0647 (CCN-73923)

Assigned:

2012-03-12

Published:

2012-03-12

Updated:

2018-01-06

Summary:

WebKit in Apple Safari before 5.1.4 does not properly handle redirects in conjunction with HTTP authentication, which might allow remote web servers to capture credentials by logging the Authorization HTTP header.

CVSS v3 Severity:

5.3 Medium (CCN CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)

Exploitability Metrics:	Attack Vector (AV): Network Attack Complexity (AC): Low Privileges Required (PR): None User Interaction (UI): None
Scope:	Scope (S): Unchanged
Impact Metrics:	Confidentiality (C): Low Integrity (I): None Availibility (A): None

CVSS v2 Severity:

5.0 Medium (CVSS v2 Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N)
3.7 Low (Temporal CVSS v2 Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C)

Exploitability Metrics:	Access Vector (AV): Network Access Complexity (AC): Low Authentication (Au): None
Impact Metrics:	Confidentiality (C): Partial Integrity (I): None Availibility (A): None

5.0 Medium (CCN CVSS v2 Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N)
3.7 Low (CCN Temporal CVSS v2 Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C)

Exploitability Metrics:	Access Vector (AV): Network Access Complexity (AC): Low Athentication (Au): None
Impact Metrics:	Confidentiality (C): Partial Integrity (I): None Availibility (A): None

Vulnerability Type:

Vulnerability Consequences:

Obtain Information

References:

Source: MITRE
Type: CNA
CVE-2012-0647

Source: APPLE
Type: UNKNOWN
APPLE-SA-2012-03-12-1

Source: CCN
Type: SA48377
Apple Safari Multiple Vulnerabilities

Source: SECUNIA
Type: UNKNOWN
48377

Source: CCN
Type: Apple Web site
About the security content of Safari 5.1.4

Source: CCN
Type: OSVDB ID: 80178
Apple Safari WebKit HTTP Authorization HTTP Header Logging Credential Disclosure

Source: CCN
Type: BID-52421
WebKit HTTP Authentication Credentials Information Disclosure Vulnerability

Source: SECTRACK
Type: UNKNOWN
1026785

Source: XF
Type: UNKNOWN
safari-webkit-http-info-disclosure(73923)

Vulnerable Configuration:

Configuration 1:

cpe:/a:apple:safari:*:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.0:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.0:beta:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.0:beta2:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.0.0:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.0.0b1:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.0.0b2:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.0.1:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.0.2:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.0.3:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.0.3:85.8:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.0.3:85.8.1:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.0b1:-:mac:*:*:*:*:*

OR cpe:/a:apple:safari:1.1:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.1.0:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.1.1:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.2:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.2.0:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.2.1:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.2.2:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.2.3:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.2.4:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.2.5:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.3:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.3.0:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.3.1:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.3.2:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.3.2:312.5:*:*:*:*:*:*

OR cpe:/a:apple:safari:1.3.2:312.6:*:*:*:*:*:*

OR cpe:/a:apple:safari:2:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:2.0:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:2.0.0:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:2.0.1:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:2.0.2:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:2.0.3:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:2.0.3:417.8:*:*:*:*:*:*

OR cpe:/a:apple:safari:2.0.3:417.9:*:*:*:*:*:*

OR cpe:/a:apple:safari:2.0.3:417.9.2:*:*:*:*:*:*

OR cpe:/a:apple:safari:2.0.3:417.9.3:*:*:*:*:*:*

OR cpe:/a:apple:safari:2.0.4:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:2.0.4:-:mac:*:*:*:*:*

OR cpe:/a:apple:safari:3:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:3.0:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:3.0.0:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:3.0.0:-:mac:*:*:*:*:*

OR cpe:/a:apple:safari:3.0.0b:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:3.0.0b:-:windows:*:*:*:*:*

OR cpe:/a:apple:safari:3.0.1:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:3.0.1:-:mac:*:*:*:*:*

OR cpe:/a:apple:safari:3.0.1:beta:*:*:*:*:*:*

OR cpe:/a:apple:safari:3.0.1b:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:3.0.1b:-:windows:*:*:*:*:*

OR cpe:/a:apple:safari:3.0.2:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:3.0.2:-:mac:*:*:*:*:*

OR cpe:/a:apple:safari:3.0.2b:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:3.0.2b:-:windows:*:*:*:*:*

OR cpe:/a:apple:safari:3.0.3:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:3.0.3:-:mac:*:*:*:*:*

OR cpe:/a:apple:safari:3.0.3b:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:3.0.3b:-:windows:*:*:*:*:*

OR cpe:/a:apple:safari:3.0.4:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:3.0.4:-:mac:*:*:*:*:*

OR cpe:/a:apple:safari:3.0.4b:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:3.0.4b:-:windows:*:*:*:*:*

OR cpe:/a:apple:safari:3.1.0:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:3.1.0:-:mac:*:*:*:*:*

OR cpe:/a:apple:safari:3.1.0b:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:3.1.0b:-:windows:*:*:*:*:*

OR cpe:/a:apple:safari:3.1.1:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:3.1.1b:-:windows:*:*:*:*:*

OR cpe:/a:apple:safari:3.1.2:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:3.1.2b:-:windows:*:*:*:*:*

OR cpe:/a:apple:safari:3.2.0:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:3.2.0b:-:windows:*:*:*:*:*

OR cpe:/a:apple:safari:3.2.1:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:3.2.1b:-:windows:*:*:*:*:*

OR cpe:/a:apple:safari:3.2.2:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:3.2.2b:-:windows:*:*:*:*:*

OR cpe:/a:apple:safari:4.0:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:4.0:beta:*:*:*:*:*:*

OR cpe:/a:apple:safari:4.0.0b:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:4.0.1:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:4.0.2:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:4.0.3:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:4.0.4:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:4.0.5:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:4.1:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:4.1.1:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:4.1.2:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:5.0:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:5.0.1:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:5.0.2:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:5.0.4:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:5.0.5:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:5.0.6:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:5.1:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:5.1.1:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:5.1.2:*:*:*:*:*:*:*

OR cpe:/a:apple:safari:*:*:*:*:*:*:*:* (Version <= 5.1.3)

Configuration CCN 1:

cpe:/a:apple:safari:5.1.3:*:*:*:*:*:*:*

AND

cpe:/o:apple:mac_os_x:10.6.8:*:*:*:*:*:*:*

OR cpe:/o:apple:mac_os_x_server:10.6.8:*:*:*:*:*:*:*

Denotes that component is vulnerable

Oval Definitions

Definition ID	Class	Title	Last Modified
oval:org.mitre.oval:def:24251	V	WebKit vulnerability in Apple Safari, which might allow remote web servers to capture credentials by logging the Authorization HTTP header	2014-05-12
oval:com.ubuntu.precise:def:20120647000	V	CVE-2012-0647 on Ubuntu 12.04 LTS (precise) - medium.	2012-03-12
oval:com.ubuntu.xenial:def:201206470000000	V	CVE-2012-0647 on Ubuntu 16.04 LTS (xenial) - medium.	2012-03-12
oval:com.ubuntu.trusty:def:20120647000	V	CVE-2012-0647 on Ubuntu 14.04 LTS (trusty) - medium.	2012-03-12
oval:com.ubuntu.xenial:def:20120647000	V	CVE-2012-0647 on Ubuntu 16.04 LTS (xenial) - medium.	2012-03-12