| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
In cURL sowie libcURL bis 7.31.1 (Network Utility Software) wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Dabei geht es um ein unbekannter Prozess der Komponente Cookie Handler. Durch Beeinflussen mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-310. Das hat Auswirkungen auf die Integrität. CVE fasst zusammen:
cURL and libcurl before 7.38.0 allow remote attackers to bypass the Same Origin Policy and set cookies for arbitrary sites by setting a cookie for a top-level domain.Die Schwachstelle wurde am 10.09.2014 durch Tim Ruehsen als libcurl cookie leak for TLDs in Form eines bestätigten Advisories (Website) an die Öffentlichkeit getragen. Das Advisory kann von curl.haxx.se heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 14.05.2014 mit CVE-2014-3620 vorgenommen. Die Ausnutzbarkeit ist als leicht bekannt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 04.02.2019). Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1600. Diese Schwachstelle gilt aufgrund ihrer speziellen Ausprägung als historisch interessant. Das Advisory weist darauf hin:
libcurl wrongly allows cookies to be set for Top Level Domains (TLDs), thus making them apply broader than cookies are allowed. This can allow arbitrary sites to set cookies that then would get sent to a different and unrelated site or domain.Insgesamt 26 Tage schien es sich um eine nicht veröffentlichte Zero-Day Schwachstelle gehandelt zu haben. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde am 12.10.2014 ein Plugin mit der ID 78350 (Amazon Linux AMI : curl (ALAS-2014-407)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Amazon Linux Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 350322 (Amazon Linux Security Advisory for curl: ALAS-2014-407) zur Prüfung der Schwachstelle an.
Ein Upgrade auf die Version 7.38.0 vermag dieses Problem zu beheben. Eine neue Version kann von curl.haxx.se bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Die Entwickler haben offensichtlich unmittelbar reagiert.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (95924) und Tenable (78350) dokumentiert. Zusätzliche Informationen finden sich unter bugzilla.redhat.com. Die Schwachstellen 67527 sind ähnlich.
Produkt
Typ
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 4.6
VulDB Base Score: 5.3
VulDB Temp Score: 4.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Schwache VerschlüsselungCWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Unbewiesen
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 78350
Nessus Name: Amazon Linux AMI : curl (ALAS-2014-407)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 703022
OpenVAS Name: Debian Security Advisory DSA 3022-1 (curl - security update)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: cURL/libcURL 7.38.0
Timeline
14.05.2014 🔍15.08.2014 🔍
10.09.2014 🔍
10.09.2014 🔍
10.09.2014 🔍
12.09.2014 🔍
12.10.2014 🔍
18.11.2014 🔍
18.11.2014 🔍
14.04.2016 🔍
04.02.2019 🔍
Quellen
Advisory: libcurl cookie leak for TLDsPerson: Tim Ruehsen
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2014-3620 (🔍)
OVAL: 🔍
X-Force: 95924 - cURL/libcURL cookies security bypass, Medium Risk
Vulnerability Center: 58216 - cURL 7.1 through 7.37.1 Remote Bypass Restrictions due to Cookies Set for Top Level Domains, Medium
SecurityFocus: 69742 - cURL/libcURL CVE-2014-3620 Cookies Handling Remote Security Bypass Vulnerability
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 12.09.2014 10:31Aktualisierung: 04.02.2019 16:23
Anpassungen: 12.09.2014 10:31 (88), 04.02.2019 16:23 (1)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.