| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.9 | $0-$5k | 0.00 |
Zusammenfassung
In Sun Secure Global Desktop bis 4.3 wurde eine kritische Schwachstelle gefunden. Es betrifft eine unbekannte Funktion. Durch Manipulieren mit unbekannten Daten kann eine unbekannte Schwachstelle ausgenutzt werden. Diese Schwachstelle wird als CVE-2006-4958 gehandelt. Der Angriff kann remote ausgeführt werden. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Sun Secure Global Desktop, ehemals Tarantella, ist eine quelloffene Remote-Control Lösung. Marc Ruef entdeckte mehrere kritische Schwachstellen in den Versionen bis 4.3. Cross Site Scripting und das Auslesen von sensitiven Informationen ist möglich. Weitere Details oder Exploits wurde nicht herausgegeben. Für die Cross Site Scripting Schwachstellen wurde CVE-2006-4958 und für die Herausgabe der sensitiven Informationen wurde CVE-2006-4959 zugewiesen. Sun wurde frühzeitig Anfang Juli über das Problem informiert und hat auch auf Ende August 2006 Lösungen versprochen. Diese blieben jedoch aus. Genauso wie die letzten Anfragen zur Verifikation des aktuellen Stands. Erst eine Woche nach der Veröffentlichung des scip_Advisories wurde bekannt, dass Sun einen entsprechenden Patch 4.20.983 zum Download bereitstellt. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (29303), Tenable (22495), SecurityFocus (BID 20276†), OSVDB (29226†) und Secunia (SA22037†) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-2566, VDB-2567, VDB-2579 und VDB-32534. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Für den Vulnerability Scanner Nessus wurde am 03.10.2006 ein Plugin mit der ID 22495 (Sun Secure Global Desktop / Tarantella < 4.20.983 Multiple XSS) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CGI abuses : XSS zugeordnet und im Kontext r ausgeführt.
Obschon der Kontakt mit Sun grundsätzlich sehr freundlich war, blieb bis zum Schluss eine anständige Koordination des weiteren Vorgehens aus. Der Termin für die Veröffentlichung der Patches wurde immer wieder hinausgeschoben. Und dies auch nur, nachdem die Gründe für das Ausbleiben derer erfragt wurden. Die letzten Emails wurden erst gar nicht mehr beantwortet. Aus diesem Grund sahen wir davon ab, technische Details zu den Problemen bekanntzugeben. Diese werden nach dem Erscheinen offizieller Gegenmassnahmen, nachgereicht.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
- end of life (old version)
Webseite
- Hersteller: https://www.oracle.com/sun/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.5VulDB Meta Temp Score: 5.9
VulDB Base Score: 6.5
VulDB Temp Score: 5.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: UnbekanntCWE: Unbekannt
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 22495
Nessus Name: Sun Secure Global Desktop / Tarantella < 4.20.983 Multiple XSS
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: sun.com
Timeline
15.09.2006 🔍15.09.2006 🔍
21.09.2006 🔍
21.09.2006 🔍
21.09.2006 🔍
22.09.2006 🔍
23.09.2006 🔍
27.09.2006 🔍
03.10.2006 🔍
09.10.2006 🔍
13.03.2021 🔍
Quellen
Hersteller: oracle.comAdvisory: sunsolve.sun.com⛔
Person: Marc Ruef
Firma: scip AG
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2006-4958 (🔍)
GCVE (CVE): GCVE-0-2006-4958
GCVE (VulDB): GCVE-100-2555
X-Force: 29303
SecurityFocus: 20276 - Sun Secure Global Desktop Multiple Unspecified Cross-Site Scripting Vulnerabilities
Secunia: 22037 - Sun Secure Global Desktop Cross-Site Scripting Vulnerabilities, Less Critical
OSVDB: 29226 - Sun Secure Global Desktop test-cgi XSS
SecurityTracker: 1016900 - Sun Secure Global Desktop Input Validation Holes Permit Cross-Site Scripting Attacks and Disclose System Information to Remote Users
Vulnerability Center: 12858 - Sun Secure Global Desktop Multiple Unspecified XSS Vulnerabilities, Medium
Vupen: ADV-2006-3739
Siehe auch: 🔍
Eintrag
Erstellt: 21.09.2006 12:06Aktualisierung: 13.03.2021 14:02
Anpassungen: 21.09.2006 12:06 (84), 08.10.2018 14:55 (6), 13.03.2021 14:02 (2)
Komplett: 🔍
Cache ID: 216:B8C:103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.