SchedMD Slurm bis 17.02.10/17.11.6 user_name/gid unbekannte Schwachstelle
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.2 | $0-$5k | 0.00 |
In SchedMD Slurm bis 17.02.10/17.11.6 wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Durch das Manipulieren des Arguments user_name/gid mit einer unbekannten Eingabe kann eine unbekannte Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-19. Dies wirkt sich aus auf die Integrität. CVE fasst zusammen:
SchedMD Slurm before 17.02.11 and 17.1x.x before 17.11.7 mishandles user names (aka user_name fields) and group ids (aka gid fields).Am 30.05.2018 wurde das Problem entdeckt. Die Schwachstelle wurde am 30.05.2018 (Website) an die Öffentlichkeit getragen. Auf lists.debian.org kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 11.05.2018 mit CVE-2018-10995 vorgenommen. Sie gilt als leicht ausnutzbar. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Für den Vulnerability Scanner Nessus wurde am 25.07.2018 ein Plugin mit der ID 111316 (Debian DSA-4254-1 : slurm-llnl - security update) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Debian Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 176437 (Debian Security Update for slurm-llnl (DSA 4254-1)) zur Prüfung der Schwachstelle an.
Ein Upgrade auf die Version 17.02.11 oder 17.11.7 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah 2 Monate nach der Veröffentlichung der Schwachstelle. SchedMD hat folglich wirklich langsam reagiert.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (111316) dokumentiert. Die Schwachstellen VDB-114677 sind ähnlich.
Produkt
Hersteller
Name
Version
- 17.02.0
- 17.02.1
- 17.02.2
- 17.02.3
- 17.02.4
- 17.02.5
- 17.02.6
- 17.02.7
- 17.02.8
- 17.02.9
- 17.02.10
- 17.11.0
- 17.11.1
- 17.11.2
- 17.11.3
- 17.11.4
- 17.11.5
- 17.11.6
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 5.2
VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 5.3
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: UnbekanntCWE: CWE-19
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 111316
Nessus Name: Debian DSA-4254-1 : slurm-llnl - security update
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
Exposure Time: 🔍
Upgrade: Slurm 17.02.11/17.11.7
Timeline
11.05.2018 🔍30.05.2018 🔍
30.05.2018 🔍
30.05.2018 🔍
31.05.2018 🔍
24.07.2018 🔍
25.07.2018 🔍
17.03.2023 🔍
Quellen
Advisory: DLA 1437-1Status: Nicht definiert
CVE: CVE-2018-10995 (🔍)
OVAL: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 31.05.2018 11:37Aktualisierung: 17.03.2023 17:52
Anpassungen: 31.05.2018 11:37 (73), 10.02.2020 07:07 (2), 17.03.2023 17:52 (4)
Komplett: 🔍
Cache ID: 3:585:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.