libnet-ssleay-perl 1.25 tmp/entropy Local Privilege Escalation
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.7 | $0-$5k | 0.00 |
Eine Schwachstelle wurde in libnet-ssleay-perl 1.25 (Programming Language Software) gefunden. Sie wurde als problematisch eingestuft. Betroffen davon ist ein unbekannter Prozess der Datei tmp/entropy. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Local Privilege Escalation-Schwachstelle ausgenutzt werden. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
ssleay.pm in libnet-ssleay-perl before 1.25 uses the /tmp/entropy file for entropy if a source is not set in the egd_path variable which allows local users to reduce the cryptographic strength of certain operations by modifying the file.Am 04.05.2005 wurde das Problem entdeckt. Die Schwachstelle wurde am 03.05.2005 durch Javier Fernandez-Sanguino Pena (Website) veröffentlicht. Auf ubuntulinux.org kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 18.01.2005 als CVE-2005-0106 statt. Sie gilt als leicht ausnutzbar. Der Angriff muss lokal passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Für den Vulnerability Scanner Nessus wurde am 15.01.2006 ein Plugin mit der ID 20500 (Ubuntu 5.04 : libnet-ssleay-perl vulnerability (USN-113-1)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Ubuntu Local Security Checks zugeordnet und im Kontext l ausgeführt.
Ein Upgrade vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Die Entwickler haben entsprechend sofort reagiert.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (20403) und Tenable (20500) dokumentiert.
Produkt
Typ
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.9VulDB Meta Temp Score: 5.7
VulDB Base Score: 5.9
VulDB Temp Score: 5.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Local Privilege EscalationCWE: Unbekannt
ATT&CK: Unbekannt
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 20500
Nessus Name: Ubuntu 5.04 : libnet-ssleay-perl vulnerability (USN-113-1)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Timeline
18.01.2005 🔍03.05.2005 🔍
03.05.2005 🔍
03.05.2005 🔍
03.05.2005 🔍
03.05.2005 🔍
04.05.2005 🔍
15.01.2006 🔍
30.01.2006 🔍
11.03.2015 🔍
13.06.2019 🔍
Quellen
Advisory: ubuntulinux.orgPerson: Javier Fernandez-Sanguino Pena
Status: Nicht definiert
CVE: CVE-2005-0106 (🔍)
X-Force: 20403
Vulnerability Center: 10226 - Net::SSLeay Module Allows Local Reduce of Cryptographic Strength, Low
SecurityFocus: 13471 - Joshua Chamas Crypt::SSLeay Perl Module Insecure Entropy Source Vulnerability
Secunia: 15207
OSVDB: 16253 - Net::SSLeay Entropy data modification
Eintrag
Erstellt: 11.03.2015 11:41Aktualisierung: 13.06.2019 16:39
Anpassungen: 11.03.2015 11:41 (65), 13.06.2019 16:39 (6)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.