libpng bis 1.2.14 Information Disclosure

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.8$0-$5k0.00

Eine kritische Schwachstelle wurde in libpng bis 1.2.14 (Image Processing Software) gefunden. Dies betrifft eine unbekannte Verarbeitung. Dank der Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-200. Die Auswirkungen sind bekannt für die Vertraulichkeit. Die Zusammenfassung von CVE lautet:

libpng before 1.2.37 does not properly parse 1-bit interlaced images with width values that are not divisible by 8, which causes libpng to include uninitialized bits in certain rows of a PNG file and might allow remote attackers to read portions of sensitive memory via "out-of-bounds pixels" in the file.

Die Entdeckung des Problems geschah am 04.06.2009. Die Schwachstelle wurde am 12.06.2009 (Website) herausgegeben. Das Advisory findet sich auf vupen.com. Die Verwundbarkeit wird seit dem 12.06.2009 mit der eindeutigen Identifikation CVE-2009-2042 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1592 bezeichnet.

Er wird als proof-of-concept gehandelt. Es dauerte mindestens 8 Tage, bis diese Zero-Day Schwachstelle öffentlich gemacht wurde. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde am 12.07.2013 ein Plugin mit der ID 68063 (Oracle Linux 3 / 4 / 5 : libpng (ELSA-2010-0534)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Oracle Linux Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 117774 (VMware Hosted Products, vCenter Server and ESX Multiple Security Issues (VMSA-2010-0007)) zur Prüfung der Schwachstelle an.

Ein Aktualisieren auf die Version 1.2.15 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah 2 Jahre nach der Veröffentlichung der Schwachstelle. Die Entwickler haben demzufolge gefährlich langsam und viel spät gehandelt.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (50966) und Tenable (68063) dokumentiert. Die Einträge 48981, 48626, 48432 und 48431 sind sehr ähnlich.

Produktinfo

Typ

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.3
VulDB Meta Temp Score: 4.8

VulDB Base Score: 5.3
VulDB Temp Score: 4.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Information Disclosure
CWE: CWE-200 / CWE-284 / CWE-266
ATT&CK: T1592

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Proof-of-Concept

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 68063
Nessus Name: Oracle Linux 3 / 4 / 5 : libpng (ELSA-2010-0534)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍

OpenVAS ID: 67267
OpenVAS Name: Debian Security Advisory DSA 2032-1 (libpng)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Upgrade: libpng 1.2.15

Timelineinfo

04.06.2009 🔍
04.06.2009 +0 Tage 🔍
04.06.2009 +0 Tage 🔍
12.06.2009 +8 Tage 🔍
12.06.2009 +0 Tage 🔍
12.06.2009 +0 Tage 🔍
23.06.2009 +11 Tage 🔍
14.07.2010 +386 Tage 🔍
12.07.2013 +1094 Tage 🔍
17.03.2015 +613 Tage 🔍
06.09.2019 +1634 Tage 🔍

Quelleninfo

Advisory: vupen.com
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2009-2042 (🔍)
OVAL: 🔍
IAVM: 🔍

X-Force: 50966
Vulnerability Center: 22639 - Libpng < 1.2.37 Out-of-Bounds Pixels Remote Information Disclosure Vulnerability, Medium
SecurityFocus: 35233 - Libpng 1-bit Interlaced Images Information Disclosure Vulnerability
Secunia: 35346
OSVDB: 54915 - Libpng - 1-bit Interlaced Images Information Disclosure Issue
Vupen: ADV-2009-1510

Siehe auch: 🔍

Eintraginfo

Erstellt: 17.03.2015 23:38
Aktualisierung: 06.09.2019 16:16
Anpassungen: 17.03.2015 23:38 (79), 06.09.2019 16:16 (8)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Might our Artificial Intelligence support you?

Check our Alexa App!