| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.0 | $0-$5k | 0.00 |
NetBSD ist ein Unix-Derivat und gehört zur Familie der BSD-Betriebssysteme. Es wird unter der BSD-Lizenz frei vertrieben. Zur BSD-Familie zählen neben NetBSD insbesondere FreeBSD, OpenBSD und DragonFly BSD. Während NetBSD und FreeBSD von 386BSD abstammen, spaltete sich OpenBSD 1995 von NetBSD ab. DragonFly BSD ging 2003 aus FreeBSD hervor. M. Arciemowicz fand eine Schwachstelle in aktuellen Versionen, wo sich durch überlange Befehlsketten eine fehlerhafte Truncation erreichen lässt. Dadurch wird der eingegebene Befehl teilweise bereits als neuer Befehl intepretiert. Dadurch kann ein Angreifer sein Opfer möglicherweise durch einen Link o.Ä. zur Eingabe beliebiger Befehle manipuliert werden. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (45434) und Tenable (63078) dokumentiert. Die Einträge 44191 und 49565 sind sehr ähnlich.
Für den Vulnerability Scanner Nessus wurde am 28.11.2012 ein Plugin mit der ID 63078 (Piwik Detection) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CGI abuses zugeordnet und im Kontext r ausgeführt.
Eine klassische Truncation Attacke, die in dieser Form heute nur noch selten zu sehen ist, präsentiert sich hier in aktuellen Versionen von NetBSD. Betroffenene Administratoren sollten bei Bedarf den Patch einspielen, der im CVS unlängst verfügbar gemacht wurde.
Produkt
Typ
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 7.0
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site Request ForgeryCWE: CWE-352 / CWE-862 / CWE-863
ATT&CK: Unbekannt
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 63078
Nessus Name: Piwik Detection
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 61656
OpenVAS Name: FreeBSD Ports: proftpd, proftpd-mysql
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Patch: cvsweb.netbsd.org
Timeline
20.09.2008 🔍25.09.2008 🔍
25.09.2008 🔍
25.09.2008 🔍
29.09.2008 🔍
17.10.2008 🔍
28.10.2008 🔍
13.11.2008 🔍
14.01.2009 🔍
28.11.2012 🔍
20.08.2019 🔍
Quellen
Advisory: securityreason.comPerson: Maksymilian Arciemowicz
Firma: SecurityReason
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2008-4247 (🔍)
X-Force: 45434
SecurityTracker: 1021112
Vulnerability Center: 19990 - ftpd in OpenBSD 4.3, FreeBSD 7.0, and NetBSD 4.0 Cross-Site Request Forgery Vulnerability, Medium
SecurityFocus: 31289 - Multiple Vendor FTP Server Long Command Handling Security Vulnerability
Secunia: 33341 - FreeBSD ftpd Long Command Processing Vulnerability, Less Critical
OSVDB: 51371 - tnftpd FTP Command Handling CSRF
Siehe auch: 🔍
Eintrag
Erstellt: 17.10.2008 14:33Aktualisierung: 20.08.2019 16:34
Anpassungen: 17.10.2008 14:33 (91), 20.08.2019 16:34 (3)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.