X.org X Server حتى 1.16.3/1.17.0 XkbSetGeometry Request الكشف عن المعلومات
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 6.2 | $0-$5k | 0.00 |
الملخص
تم اكتشاف ثغرة مصنفة كـ مشكلة صعبة الحل في X.org X Server حتى 1.16.3/1.17.0. تتعلق المشكلة بالوظيفة $software_function في المكون XkbSetGeometry Request Handler. عند التلاعب ينتج الكشف عن المعلومات.
تُعرف هذه الثغرة باسم CVE-2015-0255. الإكسبلويت غير متوفرة.
يُفضل ترقية المكون المصاب.
التفاصيل
تم اكتشاف ثغرة مصنفة كـ مشكلة صعبة الحل في X.org X Server حتى 1.16.3/1.17.0. تتعلق المشكلة بالوظيفة $software_function في المكون XkbSetGeometry Request Handler. عند التلاعب ينتج الكشف عن المعلومات. تعريف الـ سي دبليو أي للثغرة الأمنية هو CWE-200. المشكلة تم الإبلاغ عنها بتاريخ 10/02/2015 بواسطة Olivier كـ Advisory-2015-02-10 كـ استشارة (موقع إلكتروني). تمت مشاركة التنبيه للتنزيل على x.org.
تُعرف هذه الثغرة باسم CVE-2015-0255. تم تخصيص CVE في 18/11/2014. التفاصيل التقنية غير متوفرة. التقارير تشير بأن الثغرة الأمنية هذه ذات شهرة أقل من المتوسط. الإكسبلويت غير متوفرة. يعلن مشروع MITRE ATT&CK عن تقنية الهجوم كـ T1592. تشير النشرة إلى:
The issue stems from the server trusting the client to send valid string lengths in the request data. A malicious client with string lengths exceeding the request length can cause the server to copy adjacent memory data into the XKB structs. This data is then available to the client via the XkbGetGeometry request. The data length is at least up to 64k, it is possible to obtain more data by chaining strings, each string length is then determined by whatever happens to be in that 16-bit region of memory.
في حال وجود غير معرفة، يتم الإعلان عنه كـ غير معرفة. كسعر لثغرة يوم الصفر، قُدّر السعر في السوق السوداء بحوالي $0-$5k. يوفر ماسح الثغرات Nessus إضافة بالمعرف 83690. تم إسناده إلى عائلة SuSE Local Security Checks. يعتمد على المنفذ 0. خدمة فحص الشبكات كويلس يمكنها الكشف عن هذه الثغرة الأمنية بواسطة ملحق123718 (Oracle Solaris 10 Multiple Vulnerabilities (Third Party Bulletin - July 2015)).
يمكن معالجة هذه المشكلة من خلال الترقية إلى الإصدار 1.16.4 , 1.17.1. يمكنك تنزيل الإصدار المحدث من cgit.freedesktop.org. يُفضل ترقية المكون المصاب.
الثغرة الأمنية هذه تم تسجيلها في قواعد بيانات آخرى: SecurityFocus (BID 72578), SecurityTracker (ID 1031727), Vulnerability Center (SBV-51372) , Tenable (83690).
منتج
المجهز
الأسم
النسخة
الرخصة
موقع إلكتروني
- المجهز: https://www.x.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 6.5VulDB الدرجة المؤقتة للميتا: 6.2
VulDB الدرجة الأساسية: 6.5
VulDB الدرجة المؤقتة: 6.2
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 🔍
استغلال
الفئة: الكشف عن المعلوماتCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
الحالة: غير معرفة
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
Nessus ID: 83690
Nessus الأسم: SUSE SLED12 / SLES12 Security Update : xorg-x11-server (SUSE-SU-2015:0398-1)
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍
Nessus Port: 🔍
OpenVAS ID: 80091
OpenVAS الأسم: RedHat Update for xorg-x11-server RHSA-2015:0797-01
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍
Qualys ID: 🔍
Qualys الأسم: 🔍
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: ترقيةالحالة: 🔍
زمن الاستجابة: 🔍
زمن الهجوم الفوري: 🔍
زمن التعرض: 🔍
ترقية: X Server 1.16.4/1.17.1
الجدول الزمني
18/11/2014 🔍10/02/2015 🔍
10/02/2015 🔍
11/02/2015 🔍
11/02/2015 🔍
11/02/2015 🔍
13/02/2015 🔍
13/02/2015 🔍
20/05/2015 🔍
16/07/2015 🔍
29/08/2025 🔍
المصادر
المجهز: x.orgاستشارة: Advisory-2015-02-10
باحث: Olivier
الحالة: مؤكد
تأكيد: 🔍
CVE: CVE-2015-0255 (🔍)
GCVE (CVE): GCVE-0-2015-0255
GCVE (VulDB): GCVE-100-69163
OVAL: 🔍
SecurityFocus: 72578 - X.Org X Server 'xkb/xkb.c' Information Disclosure Vulnerability
SecurityTracker: 1031727 - X.Org X Server XkbSetGeometry Request Handling Error Lets Remote Users Obtain Potentially Sensitive Information
Vulnerability Center: 51372 - X.Org Server Remote Information Disclosure or DoS via a Crafted String in a \x27XkbSetGeometry\x27 Request, Medium
إدخال
تم الإنشاء: 11/02/2015 04:11 PMتم التحديث: 29/08/2025 03:49 PM
التغييرات: 11/02/2015 04:11 PM (74), 13/07/2017 10:42 AM (9), 10/03/2022 11:24 AM (3), 10/03/2022 11:31 AM (1), 29/08/2025 03:49 PM (15)
كامل: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق