Digium Asterisk حتى 1.8.20.1 main/http.c ast_http_get_post_vars تلف الذاكرة

CVSS الدرجة المؤقتة للميتاسعر الإكسبلويت الحالي (≈)درجة اهتمام CTI
7.2$0-$5k0.00

الملخصالمعلومات

تم التعرف على ثغرة أمنية في Digium Asterisk حتى 1.8.20.1. وقد تم تصنيفها على أنها خطيرة. الثغرة الأمنية أثرت على الدالة ast_http_get_post_vars من الملف main/http.c. ينتج عن التلاعب حدوث تلف الذاكرة. الثغرة الأمنية هذه تم تسميتهاCVE-2013-2686. من الممكن تنفيذ الهجوم عن بُعد. لا يتوفر أي استغلال. من المستحسن ترقية المكون المتضرر.

التفاصيلالمعلومات

تم التعرف على ثغرة أمنية في Digium Asterisk حتى 1.8.20.1. وقد تم تصنيفها على أنها خطيرة. الثغرة الأمنية أثرت على الدالة ast_http_get_post_vars من الملف main/http.c. ينتج عن التلاعب حدوث تلف الذاكرة. عبر استخدام CWE في وصف المشكلة، سيتم الإشارة إلى CWE-119. تم إصدار التحذير حول الضعف 27/03/2013 عن طريق Christoph Hebeisen بالتعاون مع ELUS Security Labs Vulnerability Research Team كـ استشارة (موقع إلكتروني). يمكن قراءة الاستشارة من هنا issues.asterisk.org. تم التنسيق مع البائع قبل النشر العلني.

الثغرة الأمنية هذه تم تسميتهاCVE-2013-2686. حدث تعيين CVE في 25/03/2013. من الممكن تنفيذ الهجوم عن بُعد. تتوفر معلومات تقنية. معدل انتشار هذه الثغرة أقل من المعدل العام. لا يتوفر أي استغلال.

إذا كان هناك قيمة لـ غير معرفة، فسيتم التصريح بأنه غير معرفة. باعتباره ثغرة يوم الصفر، كان السعر التقديري في السوق السوداء حوالي $0-$5k. يحتوي برنامج Nessus لفحص الثغرات على ملحق بالمعرف 65897. يتم تعيينه إلى العائلة متفرقات.

الترقية إلى الإصدار 1.8.20.2 قادرة على حل هذه المشكلة. من المستحسن ترقية المكون المتضرر.

بالإضافة إلى ذلك، يمكن اكتشاف هذا النوع من الهجمات ومنعه عبر TippingPoint باستخدام الفلتر 13037. إذا كانت قائمة قواعد بيانات المصدر تحتوي على عناصر، فإن الثغرة موثقة أيضًا في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 58756), X-Force (83126), Secunia (SA52776), SecurityTracker (ID 1028360) , Vulnerability Center (SBV-39101).

منتجالمعلومات

النوع

المجهز

الأسم

النسخة

الرخصة

موقع إلكتروني

CPE 2.3المعلومات

CPE 2.2المعلومات

CVSSv4المعلومات

VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv3المعلومات

VulDB الدرجة الأساسية للميتا: 7.5
VulDB الدرجة المؤقتة للميتا: 7.2

VulDB الدرجة الأساسية: 7.5
VulDB الدرجة المؤقتة: 7.2
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv2المعلومات

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
متجهالتعقيدتوثيقالسريةالأمانةالتوفر
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح

VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 🔍

استغلالالمعلومات

الفئة: تلف الذاكرة
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

ملموس: لا
محلي: لا
عن بُعد: نعم

التوفر: 🔍
الحالة: غير معرفة

EPSS Score: 🔍
EPSS Percentile: 🔍

تقدير السعر: 🔍
تقدير السعر الحالي: 🔍

0-Dayافتحافتحافتحافتح
اليومافتحافتحافتحافتح

Nessus ID: 65897
Nessus الأسم: Asterisk HTTP Content-Length Header DoS (AST-2013-002)
Nessus ملف: 🔍
Nessus عائلة: 🔍

OpenVAS ID: 865538
OpenVAS الأسم: Fedora Update for asterisk FEDORA-2013-4528
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍

استخبارات التهديدالمعلومات

الاهتمام: 🔍
الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍

إجراءات مضادةالمعلومات

التوصية: ترقية
الحالة: 🔍

زمن الاستجابة: 🔍
زمن الهجوم الفوري: 🔍
زمن التعرض: 🔍

ترقية: Asterisk 1.8.20.2
TippingPoint: 🔍

McAfee IPS: 🔍
McAfee IPS النسخة: 🔍

ISS Proventia IPS: 🔍
Fortigate IPS: 🔍

الجدول الزمنيالمعلومات

25/03/2013 🔍
27/03/2013 +2 أيام 🔍
27/03/2013 +0 أيام 🔍
27/03/2013 +0 أيام 🔍
27/03/2013 +0 أيام 🔍
27/03/2013 +0 أيام 🔍
28/03/2013 +1 أيام 🔍
01/04/2013 +4 أيام 🔍
02/04/2013 +1 أيام 🔍
10/04/2013 +8 أيام 🔍
14/04/2013 +4 أيام 🔍
24/12/2017 +1715 أيام 🔍

المصادرالمعلومات

المجهز: digium.com

استشارة: issues.asterisk.org
باحث: Christoph Hebeisen
منظمة: ELUS Security Labs Vulnerability Research Team
الحالة: مؤكد
تأكيد: 🔍
منسق: 🔍

CVE: CVE-2013-2686 (🔍)
GCVE (CVE): GCVE-0-2013-2686
GCVE (VulDB): GCVE-100-8121

IAVM: 🔍

X-Force: 83126
SecurityFocus: 58756 - Multiple Asterisk Products CVE-2013-2686 'Content-Length' Header Denial of Service Vulnerability
Secunia: 52776 - Asterisk Multiple Vulnerabilities, Highly Critical
OSVDB: 91754
SecurityTracker: 1028360 - Asterisk HTTP POST Content-Length Processing Flaw Lets Remote Users Deny Service
Vulnerability Center: 39101 - Digium Asterisk Multiple Products Remote Denial of Service via Crafted HTTP POST Requests, Medium

اقرأ أيضاً: 🔍

إدخالالمعلومات

تم الإنشاء: 02/04/2013 03:52 PM
تم التحديث: 24/12/2017 09:40 AM
التغييرات: 02/04/2013 03:52 PM (89), 24/12/2017 09:40 AM (7)
كامل: 🔍
المتعهد:
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مناقشة

لا توجد تعليقات بعد اللغات: ar + fa + en.

يرجى تسجيل الدخول حتى تتمكن من التعليق

التالي نظرة عامة السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!