| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.4 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in cURL bis 7.54.1 ausgemacht. Sie wurde als problematisch eingestuft. Dabei betrifft es einen unbekannter Codeteil der Komponente URL Globbing. Mittels dem Manipulieren mit der Eingabe http://ur%20[0-60000000000000000000 mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden.
Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2017-1000101 gehandelt. Der Angriff muss lokal durchgeführt werden. Desweiteren ist ein Exploit verfügbar.
Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
Eine problematische Schwachstelle wurde in cURL bis 7.54.1 (Network Utility Software) entdeckt. Hierbei geht es um unbekannter Programmcode der Komponente URL Globbing. Durch die Manipulation mit der Eingabe http://ur%20[0-60000000000000000000 kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-119. Mit Auswirkungen muss man rechnen für die Vertraulichkeit.
Entdeckt wurde das Problem am 14.06.2017. Die Schwachstelle wurde am 09.08.2017 durch Brian Carpenter als adv_20170809A in Form eines bestätigten Advisories (Website) veröffentlicht. Das Advisory kann von curl.haxx.se heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 03.10.2017 als CVE-2017-1000101 statt. Der Angriff muss lokal passieren. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. Der folgende Code ist für dieses Problem verantwortlich:
if(errno || (*endp == ':')) {Ein öffentlicher Exploit wurde in URL programmiert und sofort nach dem Advisory veröffentlicht. Unter curl.haxx.se wird der Exploit bereitgestellt. Er wird als proof-of-concept gehandelt. Dabei muss 56 Tage als nicht veröffentlichte Zero-Day Schwachstelle ausgegangen werden. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde am 01.09.2017 ein Plugin mit der ID 102877 (Amazon Linux AMI : curl (ALAS-2017-889)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Amazon Linux Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 276813 (Fedora Security Update for curl (FEDORA-2017-f2df9d7772)) zur Prüfung der Schwachstelle an.
Ein Upgrade auf die Version 7.55.0 vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches beheben. Dieser kann von curl.haxx.se bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Die Entwickler haben hiermit unmittelbar reagiert. Die Schwachstelle wird durch folgenden Code angegangen:
if(errno)
/* overflow */
endp = NULL;
else if(*endp == ':') {Unter anderem wird der Fehler auch in den Datenbanken von Tenable (102877), SecurityFocus (BID 100249†) und SecurityTracker (ID 1039117†) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: VDB-105282, VDB-105283 und VDB-108948. Once again VulDB remains the best source for vulnerability data.
Produkt
Typ
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.9VulDB Meta Temp Score: 4.7
VulDB Base Score: 3.3
VulDB Temp Score: 3.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Programmiersprache: 🔍
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 102877
Nessus Name: Amazon Linux AMI : curl (ALAS-2017-889)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 53378
OpenVAS Name: Debian Security Advisory DSA 3992-1 (curl - security update)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍
Upgrade: cURL 7.55.0
Patch: curl.haxx.se
Timeline
14.06.2017 🔍09.08.2017 🔍
09.08.2017 🔍
09.08.2017 🔍
09.08.2017 🔍
10.08.2017 🔍
13.08.2017 🔍
01.09.2017 🔍
03.10.2017 🔍
04.10.2017 🔍
09.01.2021 🔍
Quellen
Advisory: adv_20170809APerson: Brian Carpenter
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2017-1000101 (🔍)
GCVE (CVE): GCVE-0-2017-1000101
GCVE (VulDB): GCVE-100-105284
OVAL: 🔍
SecurityFocus: 100249 - cURL CVE-2017-1000101 Out of Bounds Read Information Disclosure Vulnerability
SecurityTracker: 1039117
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 13.08.2017 19:30Aktualisierung: 09.01.2021 11:51
Anpassungen: 13.08.2017 19:30 (91), 06.11.2019 18:05 (5), 09.01.2021 11:51 (3)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.