unrar bis 5.5.4 DestPos Pufferüberlauf

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
7.7$0-$5k0.00

Zusammenfassunginfo

Eine sehr kritische Schwachstelle wurde in unrar bis 5.5.4 gefunden. Das betrifft eine unbekannte Funktionalität. Die Bearbeitung des Arguments DestPos im Rahmen von Negative Value verursacht Pufferüberlauf. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2012-6706 gehandelt. Der Angriff kann über das Netzwerk angegangen werden. Desweiteren ist ein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.

Detailsinfo

Es wurde eine sehr kritische Schwachstelle in unrar bis 5.5.4 entdeckt. Betroffen hiervon ist unbekannter Programmcode. Durch Manipulation des Arguments DestPos durch Negative Value kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-190 vorgenommen. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

A VMSF_DELTA memory corruption was discovered in unrar before 5.5.5, as used in Sophos Anti-Virus Threat Detection Engine before 3.37.2 and other products, that can lead to arbitrary code execution. An integer overflow can be caused in DataSize+CurChannel. The result is a negative value of the "DestPos" variable, which allows the attacker to write out of bounds when setting Mem[DestPos].

Entdeckt wurde das Problem am 22.06.2017. Die Schwachstelle wurde am 22.06.2017 durch Tavis Ormandy (Website) publik gemacht. Das Advisory kann von nakedsecurity.sophos.com heruntergeladen werden. Die Verwundbarkeit wird seit dem 22.06.2017 unter CVE-2012-6706 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 20.10.2019). Die Schwachstelle entsteht durch diesen Code: 

case VMSF_DELTA:
  {
	int DataSize=R[4],Channels=R[0],SrcPos=0,Border=DataSize*2;
	if ((uint)DataSize>=VM_MEMSIZE/2)
	  break;

	// Bytes from same channels are grouped to continual data blocks,
	// so we need to place them back to their interleaving positions.
	for (int CurChannel=0;CurChannel<Channels;CurChannel++)
	{
	  byte PrevByte=0;
	  for (int DestPos=DataSize+CurChannel;DestPos<Border;DestPos+=Channels)
		Mem[DestPos]=(PrevByte-=Mem[SrcPos++]);
	}
  }
  break;
Das Advisory weist darauf hin:
It appears that the VMSF_DELTA memory corruption that was reported to Sophos AV in 2012 (and fixed there) was actually inherited from upstream unrar. For unknown reasons the information did not reach upstream rar or was otherwise lost, and the bug seems to have persisted there to this day.

Ein öffentlicher Exploit wurde durch Google Security Research in Base64 programmiert und 1 Tage nach dem Advisory veröffentlicht. Unter github.com wird der Exploit zur Verfügung gestellt. Er wird als proof-of-concept gehandelt. Als 0-Day erzielte der Exploit wohl etwa $25k-$100k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde am 28.06.2017 ein Plugin mit der ID 101065 (Debian DLA-1003-1 : unrar-nonfree security update) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Debian Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 11893 (McAfee Web Gateway Multiple Vulnerabilities (SB10205)) zur Prüfung der Schwachstelle an. Der durch den Exploit genutzte Code gestaltet sich wie folgt:

UmFyIRoHAPlOcwAADgAAAAAAAAAAMAh0AAAmAI4AAAAAAAAAAhBBUiEAAAAAHQAGAAAAACBzdGRv
dXQgIVUMzRDNmBGByDAda+AXaSv4KvQr1K/oejL05mXmXmww5tEk8gA9k8nmieyeyeswuOR6cx69
a2Hd6zQwu3aoMDDwMEswADAAMD4P938w+dydoRFwAmwAAAAAvv////+/////+9W3QFgAAQAGAAAA
Ooimhd12AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

Ein Upgrade auf die Version 5.5.5 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah 5 Tage nach der Veröffentlichung der Schwachstelle. Die Entwickler haben sehr schnell reagiert.

Unter anderem wird der Fehler auch in den Datenbanken von Exploit-DB (42245), Tenable (101065) und SecurityTracker (ID 1027725†) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: VDB-6868, VDB-6865, VDB-6866 und VDB-6870. VulDB is the best source for vulnerability data and more expert information about this specific topic.

Betroffen

  • Sophos Anti-Virus Threat Detection Engine bis 3.37.1

Produktinfo

Name

Version

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 8.5
VulDB Meta Temp Score: 8.2

VulDB Base Score: 7.3
VulDB Temp Score: 6.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 9.8
NVD Vector: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Pufferüberlauf
CWE: CWE-190 / CWE-189
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Autor: Google Security Research
Programmiersprache: 🔍
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 101065
Nessus Name: Debian DLA-1003-1 : unrar-nonfree security update
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

OpenVAS ID: 803322
OpenVAS Name: McAfee Web Gateway Multiple Vulnerabilities (SB10205)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Exploit-DB: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍

Upgrade: unrar 5.5.5

Timelineinfo

06.11.2012 🔍
22.06.2017 +1689 Tage 🔍
22.06.2017 +0 Tage 🔍
22.06.2017 +0 Tage 🔍
22.06.2017 +0 Tage 🔍
22.06.2017 +0 Tage 🔍
23.06.2017 +1 Tage 🔍
23.06.2017 +0 Tage 🔍
27.06.2017 +4 Tage 🔍
28.06.2017 +1 Tage 🔍
20.10.2019 +844 Tage 🔍

Quelleninfo

Advisory: nakedsecurity.sophos.com
Person: Tavis Ormandy
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2012-6706 (🔍)
GCVE (CVE): GCVE-0-2012-6706
GCVE (VulDB): GCVE-100-102744
SecurityTracker: 1027725

scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍

Eintraginfo

Erstellt: 22.06.2017 19:10
Aktualisierung: 20.10.2019 09:58
Anpassungen: 22.06.2017 19:10 (92), 20.10.2019 09:58 (3)
Komplett: 🔍
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!