Digital VMS 5.0 bis 5.4.2 Monitor Utility sys$share:spishr.exe erweiterte Rechte

eintrageditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Aktueller Exploitpreis (≈)
CTI Interest Score
8.0$0-$5k0.00

In Digital VMS 5.0 bis 5.4.2 wurde eine kritische Schwachstelle ausgemacht. Das betrifft eine unbekannte Funktionalität der Datei sys$share:spishr.exe der Komponente Monitor Utility. Dank der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-269. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

vulnerability in monitor utility (sys$share:spishr.exe) in vms 5.0 through 5.4-2 allows local users to gain privileges.

Die Schwachstelle wurde am 17.11.1992 als CA-1992-18 in Form eines nicht definierten Advisories (CERT.org) öffentlich gemacht. Das Advisory findet sich auf cert.org. Die Verwundbarkeit wird als CVE-1999-1395 geführt. Sie gilt als leicht ausnutzbar. Der Angriff muss lokal angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.

Ein Aktualisieren auf die Version 5.4.3 vermag dieses Problem zu lösen.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 51) dokumentiert.

Produktinfoedit

Hersteller

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 8.4
VulDB Meta Temp Score: 8.0

VulDB Base Score: 8.4
VulDB Temp Score: 8.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfoedit

Klasse: Erweiterte Rechte
CWE: CWE-269
ATT&CK: Unbekannt

Lokal: Ja
Remote: Nein

Verfügbarkeit: 🔍
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayunlockunlockunlockunlock
Heuteunlockunlockunlockunlock

Threat Intelligenceinfoedit

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoedit

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: VMS 5.4.3

Timelineinfoedit

22.07.1992 🔍
17.11.1992 +118 Tage 🔍
17.11.1992 +0 Tage 🔍
26.10.2009 +6187 Tage 🔍
16.06.2014 +1693 Tage 🔍
17.05.2018 +1431 Tage 🔍

Quelleninfoedit

Advisory: CA-1992-18
Status: Nicht definiert

CVE: CVE-1999-1395 (🔍)
SecurityFocus: 51
OSVDB: 59332 - VMS Monitor Utility (SYS$SHARE:SPISHR.EXE) Local Privilege Escalation

scip Labs: https://www.scip.ch/?labs.20120412

Eintraginfoedit

Erstellt: 16.06.2014 15:31
Aktualisierung: 17.05.2018 09:09
Anpassungen: (7) vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai source_osvdb_create
Komplett: 🔍

Kommentare

Want to stay up to date on a daily basis?

Enable the mail alert feature now!