Oracle Solaris 10/11 Pluggable authentication module parse_user_name Pufferüberlauf
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 9.7 | $0-$5k | 0.00 |
Zusammenfassung
In Oracle Solaris 10/11 wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Dabei geht es um die Funktion parse_user_name der Komponente Pluggable authentication module. Die Manipulation führt zu Pufferüberlauf.
Die Identifikation der Schwachstelle wird mit CVE-2020-14871 vorgenommen. Der Angriff lässt sich über das Netzwerk starten. Ferner existiert ein Exploit.
Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
Es wurde eine Schwachstelle in Oracle Solaris 10/11 (Operating System) gefunden. Sie wurde als sehr kritisch eingestuft. Es geht dabei um die Funktion parse_user_name der Komponente Pluggable authentication module. Dank Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-121 vorgenommen. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Vulnerability in the Oracle Solaris product of Oracle Systems (component: Pluggable authentication module). Supported versions that are affected are 10 and 11. Easily exploitable vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Oracle Solaris. While the vulnerability is in Oracle Solaris, attacks may significantly impact additional products. Successful attacks of this vulnerability can result in takeover of Oracle Solaris. Note: This CVE is not exploitable for Solaris 11.1 and later releases, and ZFSSA 8.7 and later releases, thus the CVSS Base Score is 0.0. CVSS 3.1 Base Score 10.0 (Confidentiality, Integrity and Availability impacts). CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).Die Schwachstelle wurde am 20.10.2020 als Oracle Critical Patch Update Advisory - October 2020 publik gemacht. Auf oracle.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird unter CVE-2020-14871 geführt. Sie ist leicht auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. Als Preis für einen Exploit ist zur Zeit ungefähr mit USD $0-$5k zu rechnen (Preisberechnung vom 27.10.2025). Es kann davon ausgegangen werden, dass sich die Exploit-Preise für dieses Produkt in Zukunft fallend verhalten werden.
Ein öffentlicher Exploit wurde durch hackerfantastic in C umgesetzt und 3 Wochen nach dem Advisory veröffentlicht. Der Download des Exploits kann von github.com geschehen. Er wird als attackiert gehandelt. Als 0-Day erzielte der Exploit wohl etwa $25k-$100k auf dem Schwarzmarkt.
Ein Upgrade vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Oracle hat also sofort reagiert.
Unter anderem wird der Fehler auch in den Datenbanken von Exploit-DB (49261) und Zero-Day.cz (589) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.oracle.com
CPE 2.3
CPE 2.2
Screenshot

CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 10.0VulDB Meta Temp Score: 9.7
VulDB Base Score: 10.0
VulDB Temp Score: 9.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 10.0
CNA Vector (Oracle): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-121 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Attackiert
Autor: hackerfantastic
Programmiersprache: 🔍
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV Hinzugefügt: 🔍
KEV Bis wann: 🔍
KEV Massnahmen: 🔍
KEV Ransomware: 🔍
KEV Hinweis: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Exploit-DB: 🔍
Zero-Day.cz: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍
Timeline
19.06.2020 🔍20.10.2020 🔍
20.10.2020 🔍
21.10.2020 🔍
03.11.2020 🔍
27.10.2025 🔍
Quellen
Hersteller: oracle.comAdvisory: Oracle Critical Patch Update Advisory - October 2020
Status: Bestätigt
CVE: CVE-2020-14871 (🔍)
GCVE (CVE): GCVE-0-2020-14871
GCVE (VulDB): GCVE-100-163362
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 21.10.2020 20:49Aktualisierung: 27.10.2025 18:55
Anpassungen: 21.10.2020 20:49 (40), 04.11.2020 07:41 (11), 04.11.2020 07:50 (2), 04.11.2020 08:13 (1), 04.11.2020 08:14 (4), 25.11.2020 11:54 (2), 25.11.2020 11:56 (8), 20.04.2024 20:12 (28), 01.07.2024 07:53 (2), 04.07.2024 07:54 (11), 09.09.2024 22:29 (1), 17.03.2025 01:54 (1), 27.10.2025 18:55 (1)
Komplett: 🔍
Editor: misc
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.