SuSE SUSE Linux Enterprise Module for Development Tools osc erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.3 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine kritische Schwachstelle in SuSE SUSE Linux Enterprise Module for Development Tools, Linux Enterprise Software Development Kit, openSUSE Leap and openSUSE Factory entdeckt. Es betrifft eine unbekannte Funktion der Komponente osc. Durch Manipulieren mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird unter CVE-2019-3681 geführt. Der Angriff kann remote ausgeführt werden. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
Eine Schwachstelle wurde in SuSE SUSE Linux Enterprise Module for Development Tools, Linux Enterprise Software Development Kit, openSUSE Leap sowie openSUSE Factory - eine genaue Versionsangabe steht aus - (Operating System) ausgemacht. Sie wurde als kritisch eingestuft. Hierbei geht es um ein unbekannter Ablauf der Komponente osc. Durch Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-73. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
A External Control of File Name or Path vulnerability in osc of SUSE Linux Enterprise Module for Development Tools 15, SUSE Linux Enterprise Software Development Kit 12-SP5, SUSE Linux Enterprise Software Development Kit 12-SP4; openSUSE Leap 15.1, openSUSE Factory allowed remote attackers that can change downloaded packages to overwrite arbitrary files. This issue affects: SUSE Linux Enterprise Module for Development Tools 15 osc versions prior to 0.169.1-3.20.1. SUSE Linux Enterprise Software Development Kit 12-SP5 osc versions prior to 0.162.1-15.9.1. SUSE Linux Enterprise Software Development Kit 12-SP4 osc versions prior to 0.162.1-15.9.1. openSUSE Leap 15.1 osc versions prior to 0.169.1-lp151.2.15.1. openSUSE Factory osc versions prior to 0.169.0 .Die Schwachstelle wurde am 29.06.2020 als Bug 1122675 in Form eines nicht definierten Bug Reports (Bugzilla) herausgegeben. Bereitgestellt wird das Advisory unter bugzilla.suse.com. Die Verwundbarkeit wird seit dem 03.01.2019 mit der eindeutigen Identifikation CVE-2019-3681 gehandelt. Die Ausnutzbarkeit gilt als schwierig. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Ein Aktualisieren vermag dieses Problem zu lösen.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Produkt
Typ
Hersteller
Name
- Linux Enterprise Software Development Kit
- openSUSE Factory
- openSUSE Leap
- SUSE Linux Enterprise Module for Development Tools
Lizenz
Webseite
- Hersteller: https://www.suse.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.5VulDB Meta Temp Score: 6.4
VulDB Base Score: 5.6
VulDB Temp Score: 5.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 7.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-73
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Timeline
03.01.2019 🔍29.06.2020 🔍
30.06.2020 🔍
27.10.2020 🔍
Quellen
Hersteller: suse.comAdvisory: Bug 1122675
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2019-3681 (🔍)
GCVE (CVE): GCVE-0-2019-3681
GCVE (VulDB): GCVE-100-157409
Eintrag
Erstellt: 30.06.2020 06:47Aktualisierung: 27.10.2020 20:52
Anpassungen: 30.06.2020 06:47 (40), 30.06.2020 06:52 (12), 27.10.2020 20:46 (1), 27.10.2020 20:52 (1)
Komplett: 🔍
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.