| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 10.0 | $5k-$25k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in Oracle MySQL gefunden. Sie wurde als kritisch eingestuft. Hierbei betrifft es unbekannten Programmcode der Datei client/mysql.cc. Die Veränderung im Kontext von Server Version resultiert in Pufferüberlauf. Diese Schwachstelle wird als CVE-2014-0001 gehandelt. Es ist kein Exploit verfügbar.
Details
Es wurde eine sehr kritische Schwachstelle in Oracle MySQL - die betroffene Version ist nicht klar definiert - (Database Software) gefunden. Es betrifft unbekannter Code der Datei client/mysql.cc. Mit der Manipulation durch Server Version kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-119 vorgenommen. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Buffer overflow in client/mysql.cc in Oracle MySQL and MariaDB before 5.5.35 allows remote database servers to cause a denial of service (crash) and possibly execute arbitrary code via a long server version string.Die Schwachstelle wurde am 28.01.2014 als Bug 1054592 in Form eines nicht definierten Bug Reports (Bugzilla) publiziert. Das Advisory findet sich auf bugzilla.redhat.com. Die Herausgabe passierte ohne Zusammenarbeit mit Oracle. Die Identifikation der Schwachstelle wird seit dem 03.12.2013 mit CVE-2014-0001 vorgenommen. Sie ist schwierig auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $5k-$25k gehandelt werden wird (Preisberechnung vom 23.12.2024).
Für den Vulnerability Scanner Nessus wurde am 24.04.2014 ein Plugin mit der ID 73680 (Ubuntu 12.04 LTS / 12.10 / 13.10 / 14.04 LTS : mysql-5.5 vulnerabilities (USN-2170-1)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Ubuntu Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 350447 (Amazon Linux Security Advisory for mysql51: ALAS-2014-298) zur Prüfung der Schwachstelle an.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an. Weiterführend können Angriffe durch TippingPoint mittels dem Filter 13779 erkannt werden.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (73680), SecurityFocus (BID 65298†), OSVDB (102713†), Secunia (SA52161†) und Vulnerability Center (SBV-43128†) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-11938, VDB-11939, VDB-11948 und VDB-11944. Be aware that VulDB is the high quality source for vulnerability data.
Produkt
Typ
Hersteller
Name
Lizenz
Webseite
- Hersteller: https://www.oracle.com
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 10.0VulDB Meta Temp Score: 10.0
VulDB Base Score: 10.0
VulDB Temp Score: 10.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 73680
Nessus Name: Ubuntu 12.04 LTS / 12.10 / 13.10 / 14.04 LTS : mysql-5.5 vulnerabilities (USN-2170-1)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 702919
OpenVAS Name: Debian Security Advisory DSA 2919-1 (mysql-5.5 - security update
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍
ISS Proventia IPS: 🔍
Fortigate IPS: 🔍
Timeline
03.12.2013 🔍17.01.2014 🔍
28.01.2014 🔍
31.01.2014 🔍
31.01.2014 🔍
31.01.2014 🔍
04.02.2014 🔍
24.04.2014 🔍
23.12.2024 🔍
Quellen
Hersteller: oracle.comAdvisory: Bug 1054592
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2014-0001 (🔍)
GCVE (CVE): GCVE-0-2014-0001
GCVE (VulDB): GCVE-100-12135
OVAL: 🔍
X-Force: 90901
SecurityFocus: 65298 - Oracle MySQL Client 'main()' Function Buffer Overflow Vulnerability
Secunia: 52161
OSVDB: 102713
SecurityTracker: 1029708
Vulnerability Center: 43128 - MariaDB Before 5.5.35 Remote DoS and Possible Code Execution via a Long Server Version String, High
Siehe auch: 🔍
Eintrag
Erstellt: 31.01.2014 16:16Aktualisierung: 23.12.2024 06:55
Anpassungen: 31.01.2014 16:16 (77), 20.05.2017 10:17 (4), 08.06.2021 22:34 (3), 08.06.2021 22:44 (1), 23.12.2024 06:55 (15)
Komplett: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.