OpenSC bis 0.20.0 Oberthur Smart Card Software Driver sc_oberthur_read_file Pufferüberlauf

eintrageditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Aktueller Exploitpreis (≈)
CTI Interest Score
5.5$0-$5k0.00

In OpenSC bis 0.20.0 wurde eine kritische Schwachstelle gefunden. Betroffen ist die Funktion sc_oberthur_read_file der Komponente Oberthur Smart Card Software Driver. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-120. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

The Oberthur smart card software driver in OpenSC before 0.21.0-rc1 has a heap-based buffer overflow in sc_oberthur_read_file.

Die Schwachstelle wurde am 06.10.2020 an die Öffentlichkeit getragen. Das Advisory kann von bugs.chromium.org heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 06.10.2020 mit CVE-2020-26570 vorgenommen. Die Umsetzung des Angriffs kann dabei im lokalen Netzwerk erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 16.11.2020).

Ein Upgrade auf die Version 0.21.0-rc1 vermag dieses Problem zu beheben.

Produktinfoedit

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 5.5
VulDB Meta Temp Score: 5.5

VulDB Base Score: 5.5
VulDB Temp Score: 5.5
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 5.5
NVD Vector: 🔒

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔒

Exploitinginfoedit

Klasse: Pufferüberlauf
CWE: CWE-120
ATT&CK: Unbekannt

Lokal: Nein
Remote: Teilweise

Verfügbarkeit: 🔒
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayunlockunlockunlockunlock
Heuteunlockunlockunlockunlock

Threat Intelligenceinfoedit

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoedit

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: OpenSC 0.21.0-rc1

Timelineinfoedit

06.10.2020 CVE zugewiesen
06.10.2020 +0 Tage VulDB Eintrag erstellt
06.10.2020 +0 Tage Advisory veröffentlicht
16.11.2020 +41 Tage VulDB letzte Aktualisierung

Quelleninfoedit

Advisory: bugs.chromium.org
Status: Nicht definiert

CVE: CVE-2020-26570 (🔒)

Eintraginfoedit

Erstellt: 06.10.2020 10:29
Aktualisierung: 16.11.2020 17:11
Anpassungen: (14) vulnerability_cvss3_nvd_av vulnerability_cvss3_nvd_ac vulnerability_cvss3_nvd_pr vulnerability_cvss3_nvd_ui vulnerability_cvss3_nvd_s vulnerability_cvss3_nvd_c vulnerability_cvss3_nvd_i vulnerability_cvss3_nvd_a vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai
Komplett: 🔍

Kommentare

Want to stay up to date on a daily basis?

Enable the mail alert feature now!