ID CVE-2017-7537
Summary It was found that a mock CMC authentication plugin with a hardcoded secret was accidentally enabled by default in the pki-core package before 10.6.4. An attacker could potentially use this flaw to bypass the regular authentication process and trick the CA server into issuing certificates.
References
Vulnerable Configurations
  • cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:*
    cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:*
  • cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:*:*:*:*:*:*:*
    cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:*:*:*:*:*:*:*
  • cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*
    cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.0:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.0:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.0.5:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.0.5:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.0.6:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.0.6:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.0.7:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.0.7:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.1.1:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.1.2:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.2.2:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.2.2:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.2.3:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.2.3:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.2.4:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.2.4:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.2.5:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.2.5:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.2.6:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.2.6:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.3.2:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.3.2:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.3.3:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.3.3:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.3.4:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.3.4:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.3.5:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.3.5:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.4.2:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.4.2:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.4.3:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.4.3:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.4.4:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.4.4:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.4.5:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.4.5:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.4.6:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.4.6:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.4.7:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.4.7:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.4.8:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.4.8:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.5.2:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.5.2:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.5.3:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.5.3:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.5.4:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.5.4:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.5.5:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.5.5:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.5.6:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.5.6:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.5.7:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.5.7:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.5.8:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.5.8:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.5.9:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.5.9:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.5.10:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.5.10:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.5.11:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.5.11:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.5.12:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.5.12:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.5.16:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.5.16:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.5.17:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.5.17:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.5.18:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.5.18:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.6.0:-:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.6.0:-:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.6.0:beta:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.6.0:beta:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.6.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.6.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.6.0:rc:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.6.0:rc:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.6.1:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.6.1:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.6.2:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.6.2:*:*:*:*:*:*:*
  • cpe:2.3:a:dogtagpki:dogtagpki:10.6.3:*:*:*:*:*:*:*
    cpe:2.3:a:dogtagpki:dogtagpki:10.6.3:*:*:*:*:*:*:*
CVSS
Base: 5.0 (as of 12-02-2023 - 23:30)
Impact:
Exploitability:
CWE CWE-592
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW NONE
Impact
ConfidentialityIntegrityAvailability
NONE PARTIAL NONE
cvss-vector via4 AV:N/AC:L/Au:N/C:N/I:P/A:N
redhat via4
advisories
bugzilla
id 1470817
title CVE-2017-7537 pki-core: mock CMC authentication plugin with hardcoded secret enabled by default
oval
OR
  • comment Red Hat Enterprise Linux must be installed
    oval oval:com.redhat.rhba:tst:20070304026
  • AND
    • comment Red Hat Enterprise Linux 7 is installed
      oval oval:com.redhat.rhba:tst:20150364027
    • OR
      • AND
        • comment pki-base is earlier than 0:10.4.1-11.el7
          oval oval:com.redhat.rhsa:tst:20172335001
        • comment pki-base is signed with Red Hat redhatrelease2 key
          oval oval:com.redhat.rhsa:tst:20172335002
      • AND
        • comment pki-base-java is earlier than 0:10.4.1-11.el7
          oval oval:com.redhat.rhsa:tst:20172335003
        • comment pki-base-java is signed with Red Hat redhatrelease2 key
          oval oval:com.redhat.rhsa:tst:20172335004
      • AND
        • comment pki-ca is earlier than 0:10.4.1-11.el7
          oval oval:com.redhat.rhsa:tst:20172335005
        • comment pki-ca is signed with Red Hat redhatrelease2 key
          oval oval:com.redhat.rhsa:tst:20130511002
      • AND
        • comment pki-javadoc is earlier than 0:10.4.1-11.el7
          oval oval:com.redhat.rhsa:tst:20172335007
        • comment pki-javadoc is signed with Red Hat redhatrelease2 key
          oval oval:com.redhat.rhsa:tst:20172335008
      • AND
        • comment pki-kra is earlier than 0:10.4.1-11.el7
          oval oval:com.redhat.rhsa:tst:20172335009
        • comment pki-kra is signed with Red Hat redhatrelease2 key
          oval oval:com.redhat.rhsa:tst:20172335010
      • AND
        • comment pki-server is earlier than 0:10.4.1-11.el7
          oval oval:com.redhat.rhsa:tst:20172335011
        • comment pki-server is signed with Red Hat redhatrelease2 key
          oval oval:com.redhat.rhsa:tst:20172335012
      • AND
        • comment pki-symkey is earlier than 0:10.4.1-11.el7
          oval oval:com.redhat.rhsa:tst:20172335013
        • comment pki-symkey is signed with Red Hat redhatrelease2 key
          oval oval:com.redhat.rhsa:tst:20130511020
      • AND
        • comment pki-tools is earlier than 0:10.4.1-11.el7
          oval oval:com.redhat.rhsa:tst:20172335015
        • comment pki-tools is signed with Red Hat redhatrelease2 key
          oval oval:com.redhat.rhsa:tst:20172335016
rhsa
id RHSA-2017:2335
released 2017-08-01
severity Moderate
title RHSA-2017:2335: pki-core security update (Moderate)
rpms
  • pki-base-0:10.4.1-11.el7
  • pki-base-java-0:10.4.1-11.el7
  • pki-ca-0:10.4.1-11.el7
  • pki-core-debuginfo-0:10.4.1-11.el7
  • pki-javadoc-0:10.4.1-11.el7
  • pki-kra-0:10.4.1-11.el7
  • pki-server-0:10.4.1-11.el7
  • pki-symkey-0:10.4.1-11.el7
  • pki-tools-0:10.4.1-11.el7
refmap via4
confirm
Last major update 12-02-2023 - 23:30
Published 26-07-2018 - 13:29
Last modified 12-02-2023 - 23:30
Back to Top