nginx حتى 1.0.13/1.1.16 HTTP Header Response Parser ngx_http_parse.c الحرمان من الخدمة
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 7.2 | $0-$5k | 0.00 |
الملخص
ثغرة أمنية مصنفة على أنها مشكلة صعبة الحل تم أيجادها في nginx حتى 1.0.13/1.1.16. المشكلة أثرت على دالة غير معروفة من الملف ngx_http_parse.c من العنصر HTTP Header Response Parser. عند التلاعب ينتج الحرمان من الخدمة. تم تسمية الثغرة بأسمCVE-2012-1180. الإكسبلويت غير متوفرة. يُفضل ترقية المكون المصاب.
التفاصيل
ثغرة أمنية مصنفة على أنها مشكلة صعبة الحل تم أيجادها في nginx حتى 1.0.13/1.1.16. المشكلة أثرت على دالة غير معروفة من الملف ngx_http_parse.c من العنصر HTTP Header Response Parser. عند التلاعب ينتج الحرمان من الخدمة. تعريف الـ سي دبليو أي للثغرة الأمنية هو CWE-399. تم نشر الضعف 15/03/2012 بواسطة Maxim Dounin كـ Changelog Entry (موقع إلكتروني). يمكن تحميل الاستشارة من هنا trac.nginx.org.
تم تسمية الثغرة بأسمCVE-2012-1180. تم تخصيص CVE في 14/02/2012. التفاصيل التقنية متوفرة. التقارير تشير بأن الثغرة الأمنية هذه ذات شهرة أقل من المتوسط. الإكسبلويت غير متوفرة.
في حال وجود غير معرفة، يتم الإعلان عنه كـ غير معرفة. كسعر لثغرة يوم الصفر، قُدّر السعر في السوق السوداء بحوالي $0-$5k. يوفر ماسح الثغرات Nessus إضافة بالمعرف 69670. تم إسناده إلى عائلة Amazon Linux Local Security Checks. الملحق يعمل بحسب الصنفr. يعتمد على المنفذ 0. خدمة فحص الشبكات كويلس يمكنها الكشف عن هذه الثغرة الأمنية بواسطة ملحق13269 (Nginx Memory Disclosure Vulnerability).
يمكن معالجة هذه المشكلة من خلال الترقية إلى الإصدار 1.0.14. يمكنك تنزيل الإصدار المحدث من trac.nginx.org. يُفضل ترقية المكون المصاب.
الثغرة الأمنية هذه تم تسجيلها في قواعد بيانات آخرى: SecurityFocus (BID 52578), X-Force (74191), Secunia (SA48366), SecurityTracker (ID 1026827) , Vulnerability Center (SBV-34980).
منتج
النوع
الأسم
النسخة
- 1.0.0
- 1.0.1
- 1.0.2
- 1.0.3
- 1.0.4
- 1.0.5
- 1.0.6
- 1.0.7
- 1.0.8
- 1.0.9
- 1.0.10
- 1.0.11
- 1.0.12
- 1.0.13
- 1.1.0
- 1.1.1
- 1.1.2
- 1.1.3
- 1.1.4
- 1.1.5
- 1.1.6
- 1.1.7
- 1.1.8
- 1.1.9
- 1.1.10
- 1.1.11
- 1.1.12
- 1.1.13
- 1.1.14
- 1.1.15
- 1.1.16
الرخصة
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 7.5VulDB الدرجة المؤقتة للميتا: 7.2
VulDB الدرجة الأساسية: 7.5
VulDB الدرجة المؤقتة: 7.2
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 🔍
استغلال
الفئة: الحرمان من الخدمةCWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
الحالة: غير معرفة
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
Nessus ID: 69670
Nessus الأسم: Amazon Linux AMI : nginx (ALAS-2012-63)
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 71239
OpenVAS الأسم: Debian Security Advisory DSA 2434-1 (nginx)
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍
Qualys ID: 🔍
Qualys الأسم: 🔍
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: ترقيةالحالة: 🔍
الاعتمادية: 🔍
زمن الاستجابة: 🔍
زمن الهجوم الفوري: 🔍
زمن التعرض: 🔍
ترقية: nginx 1.0.14
الجدول الزمني
14/02/2012 🔍15/03/2012 🔍
15/03/2012 🔍
15/03/2012 🔍
15/03/2012 🔍
19/03/2012 🔍
20/03/2012 🔍
17/04/2012 🔍
17/04/2012 🔍
02/05/2012 🔍
04/09/2013 🔍
22/03/2021 🔍
المصادر
استشارة: 4530باحث: Maxim Dounin
الحالة: مؤكد
تأكيد: 🔍
CVE: CVE-2012-1180 (🔍)
GCVE (CVE): GCVE-0-2012-1180
GCVE (VulDB): GCVE-100-4843
OVAL: 🔍
X-Force: 74191
SecurityFocus: 52578 - nginx 'ngx_cpystrn()' Information Disclosure Vulnerability
Secunia: 48366 - nginx HTTP Header Parsing Memory Disclosure Weakness, Not Critical
OSVDB: 80124
SecurityTracker: 1026827 - nginx HTTP Response Processing Lets Remote Users Obtain Portions of Memory Contents
Vulnerability Center: 34980 - Igor Sysoev NGINX Before 1.0.14 and 1.1.x Before 1.1.17 Use-After-Free Vulnerability, Medium
إدخال
تم الإنشاء: 19/03/2012 09:44 AMتم التحديث: 22/03/2021 07:54 AM
التغييرات: 19/03/2012 09:44 AM (76), 11/04/2017 11:10 AM (14), 22/03/2021 07:47 AM (3), 22/03/2021 07:54 AM (1)
كامل: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق