GNU wget حتى 1.19.1 HTTP Chunk Size src/retr.c fd_read_body تلف الذاكرة
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 7.9 | $0-$5k | 0.00 |
الملخص
تم اكتشاف ثغرة مصنفة كـ خطيرة في GNU wget حتى 1.19.1. تتعلق المشكلة بالوظيفة fd_read_body في الملف src/retr.c في المكون HTTP Chunk Size Handler. ينتج عن التلاعب حدوث تلف الذاكرة.
تُعرف هذه الثغرة باسم CVE-2017-13090. من الممكن تنفيذ الهجوم عن بُعد. لا يتوفر أي استغلال.
يوصى بترقية العنصر المتأثر.
التفاصيل
تم اكتشاف ثغرة مصنفة كـ خطيرة في GNU wget حتى 1.19.1. تتعلق المشكلة بالوظيفة fd_read_body في الملف src/retr.c في المكون HTTP Chunk Size Handler. ينتج عن التلاعب حدوث تلف الذاكرة. أستخدام الـ سي دبليو أي للأعلان عن المشكلة يؤدي إلى CWE-119. تم التعرف على الثغرة بتاريخ 22/08/2017. المشكلة تم الإبلاغ عنها بتاريخ 26/10/2017 بواسطة Antti Levomaki, Christian Jalio, Joonas Pihlaja and Juhani Eronen (موقع إلكتروني). تمت مشاركة التنبيه للتنزيل على gnu.org.
تُعرف هذه الثغرة باسم CVE-2017-13090. تم إصدار CVE في 22/08/2017. من الممكن تنفيذ الهجوم عن بُعد. تتوفر معلومات تقنية. معدل انتشار هذه الثغرة أقل من المعدل العام. لا يتوفر أي استغلال.
إذا وُجد غير معرفة، فإنه يُصرح به كـ غير معرفة. تم تصنيف الثغرة كاستغلال يوم-صفر غير معلن لمدة لا تقل عن 65 يومًا. بلغ السعر التقديري لثغرة يوم الصفر في السوق السوداء حوالي $0-$5k. يقدم أداة فحص الثغرات Nessus مكونًا إضافيًا يحمل رقم التعريف 104182. يتم تعيينه إلى العائلة Amazon Linux Local Security Checks. يعمل البرنامج الإضافي في بيئة النوع l. خدمة فحص الشبكات كويلس يمكنها الكشف عن هذه الثغرة الأمنية بواسطة ملحق157836 (Oracle Enterprise Linux Security Update for wget (ELSA-2018-3052)).
حل هذه المشكلة ممكن عبر الترقية إلى الإصدار 1.19.2. يوصى بترقية العنصر المتأثر.
إذا كانت قائمة قواعد بيانات المصدر تحتوي على عناصر، فإن الثغرة موثقة أيضًا في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 101590), SecurityTracker (ID 1039661) , Tenable (104182).
منتج
النوع
المجهز
الأسم
النسخة
الرخصة
موقع إلكتروني
- المجهز: https://www.gnu.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 8.0VulDB الدرجة المؤقتة للميتا: 7.9
VulDB الدرجة الأساسية: 6.3
VulDB الدرجة المؤقتة: 6.0
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 8.8
NVD متجه: 🔍
CNA الدرجة الأساسية: 8.8
CNA متجه (CERT/CC): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 🔍
استغلال
الفئة: تلف الذاكرةCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
الحالة: غير معرفة
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
Nessus ID: 104182
Nessus الأسم: Amazon Linux AMI : wget (ALAS-2017-916)
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍
Nessus Context: 🔍
OpenVAS ID: 53379
OpenVAS الأسم: Debian Security Advisory DSA 4008-1 (wget - security update)
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍
Qualys ID: 🔍
Qualys الأسم: 🔍
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: ترقيةالحالة: 🔍
زمن الاستجابة: 🔍
زمن الهجوم الفوري: 🔍
زمن التعرض: 🔍
ترقية: wget 1.19.2
تصحيح: git.savannah.gnu.org
الجدول الزمني
22/08/2017 🔍22/08/2017 🔍
26/10/2017 🔍
26/10/2017 🔍
26/10/2017 🔍
26/10/2017 🔍
27/10/2017 🔍
27/10/2017 🔍
01/04/2019 🔍
04/01/2023 🔍
المصادر
المجهز: gnu.orgاستشارة: RHSA-2017:3075
باحث: Antti Levomaki, Christian Jalio, Joonas Pihlaja, Juhani Eronen
الحالة: مؤكد
تأكيد: 🔍
CVE: CVE-2017-13090 (🔍)
GCVE (CVE): GCVE-0-2017-13090
GCVE (VulDB): GCVE-100-108657
OVAL: 🔍
SecurityFocus: 101590 - GNU wget CVE-2017-13090 Heap Buffer Overflow Vulnerability
SecurityTracker: 1039661
اقرأ أيضاً: 🔍
إدخال
تم الإنشاء: 01/04/2019 09:17 AMتم التحديث: 04/01/2023 03:13 PM
التغييرات: 01/04/2019 09:17 AM (82), 23/05/2020 10:50 AM (5), 20/01/2021 07:55 PM (2), 20/01/2021 07:58 PM (1), 04/01/2023 03:07 PM (4), 04/01/2023 03:13 PM (11)
كامل: 🔍
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق