| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.2 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in Apache Subversion bis 1.8.4 ausgemacht. Sie wurde als problematisch eingestuft. Dabei betrifft es einen unbekannter Codeteil der Komponente mod_dav_svn. Die Bearbeitung verursacht erweiterte Rechte. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2013-4558 gehandelt. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
Eine kritische Schwachstelle wurde in Apache Subversion bis 1.8.4 (Versioning Software) entdeckt. Hierbei geht es um unbekannter Programmcode der Komponente mod_dav_svn. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-20. Mit Auswirkungen muss man rechnen für die Verfügbarkeit. CVE fasst zusammen:
The get_parent_resource function in repos.c in mod_dav_svn Apache HTTPD server module in Subversion 1.7.11 through 1.7.13 and 1.8.1 through 1.8.4, when built with assertions enabled and SVNAutoversioning is enabled, allows remote attackers to cause a denial of service (assertion failure and Apache process abort) via a non-canonical URL in a request, as demonstrated using a trailing /.Die Schwachstelle wurde am 25.11.2013 durch Philip Martin von WANdisco, Inc. als mod_dav_svn assertion triggered by non-canonical URLs in autoversioning commits. in Form eines bestätigten Advisories (Website) veröffentlicht. Das Advisory kann von subversion.apache.org heruntergeladen werden. Die Herausgabe geschah hierbei in Zusammenarbeit mit dem Hersteller. Die Identifikation der Schwachstelle findet seit dem 12.06.2013 als CVE-2013-4558 statt. Der Angriff kann über das Netzwerk passieren. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 71581 (Amazon Linux AMI : subversion (ALAS-2013-269)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Amazon Linux Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 350475 (Amazon Linux Security Advisory for subversion: ALAS-2013-269) zur Prüfung der Schwachstelle an.
Ein Upgrade auf die Version 1.7.14 oder 1.8.5 vermag dieses Problem zu beheben. Eine neue Version kann von subversion.apache.org bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Apache hat hiermit unmittelbar reagiert.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (71581), SecurityFocus (BID 63981†), OSVDB (100363†) und Vulnerability Center (SBV-42453†) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: VDB-11325. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.apache.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.5VulDB Meta Temp Score: 6.2
VulDB Base Score: 6.5
VulDB Temp Score: 6.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 71581
Nessus Name: Amazon Linux AMI : subversion (ALAS-2013-269)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 867116
OpenVAS Name: Fedora Update for subversion FEDORA-2013-22208
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: Subversion 1.7.14/1.8.5
Timeline
12.06.2013 🔍25.11.2013 🔍
25.11.2013 🔍
25.11.2013 🔍
25.11.2013 🔍
29.11.2013 🔍
03.12.2013 🔍
07.12.2013 🔍
02.06.2021 🔍
Quellen
Hersteller: apache.orgAdvisory: mod_dav_svn assertion triggered by non-canonical URLs in autoversioning commits.
Person: Philip Martin
Firma: WANdisco, Inc.
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍
CVE: CVE-2013-4558 (🔍)
GCVE (CVE): GCVE-0-2013-4558
GCVE (VulDB): GCVE-100-11324
OVAL: 🔍
SecurityFocus: 63981 - Apache Subversion 'mod_dav_svn' Module Denial of Service Vulnerability
OSVDB: 100363
Vulnerability Center: 42453 - Apache Subversion Remote DoS Vulnerability in mod_dav_svn, Low
Siehe auch: 🔍
Eintrag
Erstellt: 29.11.2013 13:36Aktualisierung: 02.06.2021 14:37
Anpassungen: 29.11.2013 13:36 (78), 16.05.2017 04:37 (4), 02.06.2021 14:37 (3)
Komplett: 🔍
Editor:
Cache ID: 216:658:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.