| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.0 | $0-$5k | 0.00 |
Tripwire ist ein Dateibasierendes Intrusion Detection-Tool, das unerwünschte Manipulationen von Dateien und im Dateisystem erkennen und verhindern kann. Dem Ändern von Daten oder das Einschleusen von korruptem Programmcode (z.B. Viren oder Hintertüren) kann so entgegengewirkt werden. Wie mitunter als erstes auf SecuriTeam.com berichtet wird, besteht eine Format String-Schwachstelle in der Funktion cPipedMailMessage::SendString(), die für den Versand von Benachrichtigungs-Mails zuständig ist. Durch das Platzieren einer mit Format Strings bestückten Datei auf dem angegriffenen Dateisystem kann ein Angreifer erweiterte Rechte erlangen. Um die Attacke erfolgreich auszuführen ist es erforderlich, dass Tripwire so konfiguriert ist, dass auch entsprechende Email-Reports generiert werden. Der Fehler wurde durch den Hersteller vorerst nur in der kommerziellen Version behoben. Auf SecuriTeam.com wurde jedoch ein diff-Patch publiziert, der sich auch auf die open-source Version anwenden lässt. Als Workaround empfiehlt sich das Deaktivieren der betroffenen Email-Funktion. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (16309) und Tenable (14513) dokumentiert. Weitere Informationen werden unter archives.neohapsis.com bereitgestellt. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-14442 und VDB-17537.
Für den Vulnerability Scanner Nessus wurde am 30.08.2004 ein Plugin mit der ID 14513 (GLSA-200406-02 : tripwire: Format string vulnerability) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Gentoo Local Security Checks zugeordnet und im Kontext l ausgeführt.
Schon lange gab es keine ernstzunehmende Format String-Schwachstelle in einem populären Produkt. Von Glück kann man an dieser Stelle sprechen, dass sich der Angriff auf Tripwire nur auf dem lokalen Dateisystem umsetzen lässt. Dies soll jedoch nicht über die Gefahr hinwegtäuschen, die vom Fehler ausgeht. In Hochsicherheitsumgebungen sollten deshalb unverzüglich Gegenmassnahmen angestrebt werden.
Produkt
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 6.0
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Format StringCWE: CWE-134 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Teilweise
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 14513
Nessus Name: GLSA-200406-02 : tripwire: Format string vulnerability
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 54587
OpenVAS Name: Gentoo Security Advisory GLSA 200406-02 (tripwire)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: securiteam.com
Snort ID: 16076
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍
PaloAlto IPS: 🔍
Timeline
02.06.2004 🔍03.06.2004 🔍
03.06.2004 🔍
04.06.2004 🔍
04.06.2004 🔍
04.06.2004 🔍
05.06.2004 🔍
08.06.2004 🔍
06.08.2004 🔍
06.08.2004 🔍
30.08.2004 🔍
04.07.2006 🔍
28.06.2019 🔍
Quellen
Advisory: archives.neohapsis.comPerson: Paul Herman
Status: Nicht definiert
CVE: CVE-2004-0536 (🔍)
X-Force: 16309 - Tripwire fprintf format string, High Risk
Vulnerability Center: 12164 - Tripwire Format String Vulnerability via Email Report, Medium
SecuriTeam: securiteam.com
SecurityFocus: 10454 - Tripwire Email Reporting Format String Vulnerability
Secunia: 11763 - Tripwire Email Reporting Privilege Escalation Vulnerability, Less Critical
OSVDB: 6608 - Tripwire Email Report Format String Arbitrary Code Execution
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 08.06.2004 11:21Aktualisierung: 28.06.2019 16:14
Anpassungen: 08.06.2004 11:21 (99), 28.06.2019 16:14 (2)
Komplett: 🔍
Cache ID: 3:E13:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.