SaltStack قبل 2016.11.4 salt-ssh minion Credentials الكشف عن المعلومات
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 5.5 | $0-$5k | 0.00 |
الملخص
هناك ثغرة تم تصنيفها كـ مشكلة صعبة الحل تم اكتشافها في SaltStack. تتعلق المشكلة بوظيفة غير معروفة في المكون salt-ssh minion. ينتج عن التلاعب حدوث الكشف عن المعلومات (Credentials). تحمل هذه الثغرة المعرف CVE-2017-8109. يتطلب الهجوم الوصول المحلي. لا يتوفر أي استغلال. من المستحسن ترقية المكون المتضرر.
التفاصيل
هناك ثغرة تم تصنيفها كـ مشكلة صعبة الحل تم اكتشافها في SaltStack. تتعلق المشكلة بوظيفة غير معروفة في المكون salt-ssh minion. ينتج عن التلاعب حدوث الكشف عن المعلومات (Credentials). عبر استخدام CWE في وصف المشكلة، سيتم الإشارة إلى CWE-200. تم العثور على الخلل في 25/04/2017. المشكلة تمت مشاركتها بتاريخ 25/04/2017 كـ Bug 1035912 كـ Bug Report (Bugzilla). يمكنك تنزيل التنبيه من bugzilla.suse.com.
تحمل هذه الثغرة المعرف CVE-2017-8109. حدث تعيين CVE في 25/04/2017. يتطلب الهجوم الوصول المحلي. لا تتوفر معلومات تقنية. معدل انتشار هذه الثغرة أقل من المعدل العام. لا يتوفر أي استغلال. يحدد مشروع MITRE ATT&CK تقنية الهجوم على أنها T1592.
إذا كان هناك قيمة لـ غير معرفة، فسيتم التصريح بأنه غير معرفة. باعتباره ثغرة يوم الصفر، كان السعر التقديري في السوق السوداء حوالي $0-$5k. يحتوي برنامج Nessus لفحص الثغرات على ملحق بالمعرف 100907. يتم تعيينه إلى العائلة SuSE Local Security Checks. يعمل البرنامج الإضافي في بيئة النوع l.
الترقية إلى الإصدار 2016.11.4 قادرة على حل هذه المشكلة. من المستحسن ترقية المكون المتضرر. تم توفير إجراء وقائي محتمل 2 أشهر بعد إعلان الثغرة.
إذا كانت قائمة قواعد بيانات المصدر تحتوي على عناصر، فإن الثغرة موثقة أيضًا في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 98095) , Tenable (100907).
منتج
الأسم
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 5.5VulDB الدرجة المؤقتة للميتا: 5.5
VulDB الدرجة الأساسية: 3.3
VulDB الدرجة المؤقتة: 3.2
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 7.8
NVD متجه: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 🔍
استغلال
الأسم: Credentialsالفئة: الكشف عن المعلومات / Credentials
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
ملموس: جزئي
محلي: نعم
عن بُعد: لا
التوفر: 🔍
الحالة: غير معرفة
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
Nessus ID: 100907
Nessus الأسم: SUSE SLES11 Security Update : Salt (SUSE-SU-2017:1581-1)
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍
Nessus Context: 🔍
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: ترقيةالحالة: 🔍
زمن الاستجابة: 🔍
زمن الهجوم الفوري: 🔍
زمن التعرض: 🔍
ترقية: SaltStack 2016.11.4
تصحيح: github.com
الجدول الزمني
25/04/2017 🔍25/04/2017 🔍
25/04/2017 🔍
25/04/2017 🔍
25/04/2017 🔍
25/04/2017 🔍
16/06/2017 🔍
20/06/2017 🔍
02/12/2022 🔍
المصادر
استشارة: Bug 1035912باحث: Andreas Stieger
الحالة: غير معرفة
تأكيد: 🔍
CVE: CVE-2017-8109 (🔍)
GCVE (CVE): GCVE-0-2017-8109
GCVE (VulDB): GCVE-100-100581
SecurityFocus: 98095 - SaltStack Salt CVE-2017-8109 Local Information Disclosure Vulnerability
OSVDB: - CVE-2017-8109 - SaltStack - Salt - Information Disclosure Issue
اقرأ أيضاً: 🔍
إدخال
تم الإنشاء: 25/04/2017 10:46 PMتم التحديث: 02/12/2022 10:32 AM
التغييرات: 25/04/2017 10:46 PM (70), 21/09/2020 11:53 AM (6), 21/12/2020 01:55 PM (2), 02/12/2022 10:32 AM (3)
كامل: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق