Linux-PAM 1.1.8 pam_timestamp.c pam_timestamp اجتياز الدليل

CVSS الدرجة المؤقتة للميتاسعر الإكسبلويت الحالي (≈)درجة اهتمام CTI
4.6$0-$5k0.00

الملخصالمعلومات

لقد تم العثور على ثغرة تم تصنيفها كـ مشكلة صعبة الحل ضمن Linux-PAM 1.1.8. تتأثر وظيفة غير معروفة من الملف modules/pam_timestamp/pam_timestamp.c. تؤدي عملية التلاعب إلى اجتياز الدليل. تم تسجيل هذه الثغرة تحت الرمز CVE-2014-2583. لا يوجد استغلال متاح. يُنصح بتطبيق تصحيح لإصلاح هذه المشكلة.

التفاصيلالمعلومات

لقد تم العثور على ثغرة تم تصنيفها كـ مشكلة صعبة الحل ضمن Linux-PAM 1.1.8. تتأثر وظيفة غير معروفة من الملف modules/pam_timestamp/pam_timestamp.c. تؤدي عملية التلاعب إلى اجتياز الدليل. عند استخدام CWE لتحديد المشكلة، سيتم التوجيه إلى CWE-22. المشكلة تم الافصاح عنها بتاريخ 26/03/2014 بواسطة Sebastian Krahmer مع SuSE كـ pam_timestamp: fix potential directory traversal issue كـ GIT Commit (GIT Repository). التنبيه متاح للتنزيل عبر git.fedorahosted.org.

تم تسجيل هذه الثغرة تحت الرمز CVE-2014-2583. تم تعيين CVE في 21/03/2014. التفاصيل التقنية متوفرة. شعبية هذه الثغرة أقل من المتوسط. لا يوجد استغلال متاح. مشروع ميتري اتاك يصنف اسلوب الهجوم هذا على انه T1006. سبب هذه الثغرة هو هذا الجزء من الشيفرة البرمجية:

if (strlen(tty) == 0) {

لكونها ثغرة هجوم فوري متوسط سعرها كان$0-$5k. برنامج فحص الشبكات نيسوس يوفر ملحق بعنوان73979(SuSE 11.3 Security Update : pam (SAT Patch Number 9119)), يمكنك من الكشف عن وجود هذه الثغرة. تم تصنيفه ضمن عائلة SuSE Local Security Checks. وهو يعتمد على المنفذ0. خدمة فحص الشبكات كويلس يمكنها الكشف عن هذه الثغرة الأمنية بواسطة ملحق196435 (Ubuntu Security Notification for Pam Vulnerabilities (USN-2935-1)).

يتوفر تصحيح الثغرة على git.fedorahosted.org. يُنصح بتطبيق تصحيح لإصلاح هذه المشكلة. سيتم إصلاح الثغرة الأمنية من خلال الأسطر التالية من الشيفرة البرمجية:

if (strcmp(tty, ".") || !strcmp(tty, "..")) {

إذا كان هناك عناصر في source_databases_list، فإن الثغرة موثقة كذلك في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 66493), X-Force (92342), Secunia (SA57317), Vulnerability Center (SBV-44649) , Tenable (73979).

منتجالمعلومات

الأسم

النسخة

CPE 2.3المعلومات

CPE 2.2المعلومات

CVSSv4المعلومات

VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv3المعلومات

VulDB الدرجة الأساسية للميتا: 5.3
VulDB الدرجة المؤقتة للميتا: 4.6

VulDB الدرجة الأساسية: 5.3
VulDB الدرجة المؤقتة: 4.6
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv2المعلومات

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
متجهالتعقيدتوثيقالسريةالأمانةالتوفر
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح

VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 🔍

استغلالالمعلومات

الفئة: اجتياز الدليل
CWE: CWE-22
CAPEC: 🔍
ATT&CK: 🔍

ملموس: جزئي
محلي: نعم
عن بُعد: نعم

التوفر: 🔍
الحالة: غير مثبت

EPSS Score: 🔍
EPSS Percentile: 🔍

تقدير السعر: 🔍
تقدير السعر الحالي: 🔍

0-Dayافتحافتحافتحافتح
اليومافتحافتحافتحافتح

Nessus ID: 73979
Nessus الأسم: SuSE 11.3 Security Update : pam (SAT Patch Number 9119)
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍
Nessus Port: 🔍

Qualys ID: 🔍
Qualys الأسم: 🔍

استخبارات التهديدالمعلومات

الاهتمام: 🔍
الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍

إجراءات مضادةالمعلومات

التوصية: تصحيح
الحالة: 🔍

زمن الاستجابة: 🔍
زمن الهجوم الفوري: 🔍
زمن التعرض: 🔍

تصحيح: git.fedorahosted.org

الجدول الزمنيالمعلومات

21/03/2014 🔍
24/03/2014 +3 أيام 🔍
24/03/2014 +0 أيام 🔍
26/03/2014 +2 أيام 🔍
26/03/2014 +0 أيام 🔍
04/04/2014 +9 أيام 🔍
04/04/2014 +0 أيام 🔍
10/04/2014 +6 أيام 🔍
13/05/2014 +33 أيام 🔍
27/05/2014 +14 أيام 🔍
16/06/2021 +2577 أيام 🔍

المصادرالمعلومات

استشارة: pam_timestamp: fix potential directory traversal issue
باحث: Sebastian Krahmer
منظمة: SuSE
الحالة: مؤكد
تأكيد: 🔍

CVE: CVE-2014-2583 (🔍)
GCVE (CVE): GCVE-0-2014-2583
GCVE (VulDB): GCVE-100-12800

OVAL: 🔍

X-Force: 92342 - Linux-PAM format_timestamp_name() directory traversal, Medium Risk
SecurityFocus: 66493 - Linux-PAM 'format_timestamp_name()' Function Directory Traversal Vulnerability
Secunia: 57317 - Linux-PAM "pam_timestamp" Module Two Directory Traversal Vulnerabilities, Less Critical
Vulnerability Center: 44649 - Linux-PAM Local Directory Traversal Vulnerability due to an Error in the format_timestamp_name Function, Low

اقرأ أيضاً: 🔍

إدخالالمعلومات

تم الإنشاء: 04/04/2014 01:04 PM
تم التحديث: 16/06/2021 02:45 PM
التغييرات: 04/04/2014 01:04 PM (82), 29/05/2017 08:51 AM (4), 16/06/2021 02:45 PM (3)
كامل: 🔍
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مناقشة

لا توجد تعليقات بعد اللغات: ar + fa + en.

يرجى تسجيل الدخول حتى تتمكن من التعليق

التالي نظرة عامة السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!