PHP 5.4.29/5.5.13 fileinfo cdf_check_stream_offset الحرمان من الخدمة
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
الملخص
تم التعرف على ثغرة أمنية في PHP 5.4.29/5.5.13. وقد تم تصنيفها على أنها مشكلة صعبة الحل. الثغرة الأمنية أثرت على الدالة cdf_check_stream_offset من العنصر fileinfo. ينتج عن التلاعب حدوث الحرمان من الخدمة.
الثغرة الأمنية هذه تم تسميتهاCVE-2014-3479. لا يوجد أي استغلال متوفر.
من المستحسن ترقية المكون المتضرر.
التفاصيل
تم التعرف على ثغرة أمنية في PHP 5.4.29/5.5.13. وقد تم تصنيفها على أنها مشكلة صعبة الحل. الثغرة الأمنية أثرت على الدالة cdf_check_stream_offset من العنصر fileinfo. ينتج عن التلاعب حدوث الحرمان من الخدمة. عبر استخدام CWE في وصف المشكلة، سيتم الإشارة إلى CWE-189. تم إصدار التحذير حول الضعف 26/06/2014 عن طريق sec بالتعاون مع Red Hat Security Response Team كـ Changelog Entry (موقع إلكتروني). يمكن قراءة الاستشارة من هنا mx.gw.com.
الثغرة الأمنية هذه تم تسميتهاCVE-2014-3479. حدث تعيين CVE في 14/05/2014. يوجد شرح تقني متاح. هذه الثغرة ليست شائعة مقارنة بالمتوسط. لا يوجد أي استغلال متوفر.
باعتباره ثغرة يوم الصفر، كان السعر التقديري في السوق السوداء حوالي $5k-$25k. يحتوي برنامج Nessus لفحص الثغرات على ملحق بالمعرف 78310. تصنيف عائلتها هوAmazon Linux Local Security Checks. يعمل المكون الإضافي في سياق النوع l. خدمة فحص الشبكات كويلس يمكنها الكشف عن هذه الثغرة الأمنية بواسطة ملحق185089 (HP-UX Apache Server Suite Multiple Vulnerabilities (HPSBUX03102)).
من المستحسن ترقية المكون المتضرر. تم نشر إجراء تخفيف محتمل 2 أسابيع بعد الكشف عن الثغرة.
في حال وجود عناصر في source_databases_list، فإن هذه الثغرة موثقة أيضًا في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 68241), X-Force (94320), Secunia (SA59794) , Tenable (78310).
منتج
النوع
الأسم
النسخة
الرخصة
موقع إلكتروني
- منتج: https://www.php.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 5.3VulDB الدرجة المؤقتة للميتا: 4.6
VulDB الدرجة الأساسية: 5.3
VulDB الدرجة المؤقتة: 4.6
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 🔍
استغلال
الفئة: الحرمان من الخدمةCWE: CWE-189
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
الحالة: غير مثبت
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
Nessus ID: 78310
Nessus الأسم: Amazon Linux AMI : php54 (ALAS-2014-367)
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍
Nessus Context: 🔍
OpenVAS ID: 702974
OpenVAS الأسم: Debian Security Advisory DSA 2974-1 (php5 - security update)
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍
Qualys ID: 🔍
Qualys الأسم: 🔍
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: ترقيةالحالة: 🔍
زمن الاستجابة: 🔍
زمن الهجوم الفوري: 🔍
زمن التعرض: 🔍
تصحيح: github.com
الجدول الزمني
14/05/2014 🔍10/06/2014 🔍
26/06/2014 🔍
09/07/2014 🔍
09/07/2014 🔍
10/07/2014 🔍
14/07/2014 🔍
12/10/2014 🔍
08/02/2022 🔍
المصادر
منتج: php.orgاستشارة: 67411
باحث: sec
منظمة: Red Hat Security Response Team
الحالة: مؤكد
تأكيد: 🔍
CVE: CVE-2014-3479 (🔍)
GCVE (CVE): GCVE-0-2014-3479
GCVE (VulDB): GCVE-100-67026
OVAL: 🔍
IAVM: 🔍
X-Force: 94320 - PHP cdf_check_stream_offset() denial of service, Medium Risk
SecurityFocus: 68241 - PHP Fileinfo Component 'cdf_check_stream_offset()' Function Remote Denial of Service Vulnerability
Secunia: 59794 - Debian update for php5, Moderately Critical
اقرأ أيضاً: 🔍
إدخال
تم الإنشاء: 10/07/2014 11:31 AMتم التحديث: 08/02/2022 04:47 PM
التغييرات: 10/07/2014 11:31 AM (83), 08/03/2019 07:12 PM (1), 08/02/2022 04:40 PM (5), 08/02/2022 04:47 PM (1)
كامل: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق