GNU libiberty 2.22 objalloc.c _objalloc_alloc Denial of Service

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.3$0-$5k0.00

Es wurde eine Schwachstelle in GNU libiberty 2.22 ausgemacht. Sie wurde als kritisch eingestuft. Es betrifft die Funktion _objalloc_alloc der Datei objalloc.c. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-189 vorgenommen. Dies hat Einfluss auf die Verfügbarkeit. Die Zusammenfassung von CVE lautet:

Multiple integer overflows in the (1) _objalloc_alloc function in objalloc.c and (2) objalloc_alloc macro in include/objalloc.h in GNU libiberty, as used by binutils 2.22, allow remote attackers to cause a denial of service (crash) via vectors related to the "addition of CHUNK_HEADER_SIZE to the length," which triggers a heap-based buffer overflow.

Die Schwachstelle wurde am 05.09.2012 durch Sang Kil Cha (Website) publiziert. Bereitgestellt wird das Advisory unter gcc.gnu.org. Die Identifikation der Schwachstelle wird seit dem 14.06.2012 mit CVE-2012-3509 vorgenommen. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.

Für den Vulnerability Scanner Nessus wurde am 04.08.2014 ein Plugin mit der ID 76978 (Fedora 20 : sdcc-3.3.0-1.fc20 (2014-8510)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Fedora Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 195996 (Ubuntu Security Notification for Binutils Vulnerabilities (USN-2496-1)) zur Prüfung der Schwachstelle an.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (78135) und Tenable (76978) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 68110 und 73162.

Produktinfo

Hersteller

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.3
VulDB Meta Temp Score: 5.3

VulDB Base Score: 5.3
VulDB Temp Score: 5.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Denial of Service
CWE: CWE-189
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 76978
Nessus Name: Fedora 20 : sdcc-3.3.0-1.fc20 (2014-8510)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍

OpenVAS ID: 864892
OpenVAS Name: Fedora Update for insight FEDORA-2012-18300
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔍

Timelineinfo

14.06.2012 🔍
29.08.2012 +76 Tage 🔍
29.08.2012 +0 Tage 🔍
05.09.2012 +7 Tage 🔍
05.09.2012 +0 Tage 🔍
02.12.2012 +88 Tage 🔍
04.08.2014 +610 Tage 🔍
23.03.2015 +231 Tage 🔍
13.12.2021 +2457 Tage 🔍

Quelleninfo

Hersteller: gnu.org

Advisory: USN-2496-1
Person: Sang Kil Cha
Status: Nicht definiert

CVE: CVE-2012-3509 (🔍)
X-Force: 78135
Vulnerability Center: 37469 - GNU libiberty As Used in Binutils 2.22 Multiple Integer Overflows Allow Remote DoS, Medium
SecurityFocus: 55281 - GNU libiberty '_objalloc_alloc()' Function CVE-2012-3509 Remote Integer Overflow Vulnerability

Siehe auch: 🔍

Eintraginfo

Erstellt: 23.03.2015 16:50
Aktualisierung: 13.12.2021 08:07
Anpassungen: 23.03.2015 16:50 (67), 22.04.2017 09:12 (5), 13.12.2021 08:01 (3), 13.12.2021 08:07 (1)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!