Tor unspezifizierte Schwachstelle in ControlPort torrc Rewrite

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
6.6$0-$5k0.00

Zusammenfassunginfo

Eine Schwachstelle wurde in Tor gefunden. Sie wurde als problematisch eingestuft. Hierbei betrifft es unbekannten Programmcode der Komponente ControlPort. Mittels Manipulieren des Arguments torrc mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Diese Schwachstelle wird als CVE-2007-4174 gehandelt. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.

Detailsinfo

Tor ist ein anonymisierendes Netzwerk für TCP-Verbindungen. Es anonymisiert Web-Browsing, Instant Messaging, IRC, SSH, E-Mail, P2P und mehr. Damit soll der Nutzer vor der Analyse seines Datenverkehrs geschützt werden. Die Entwickler melden einen unspezifizierten Fehler im ControlPort, der es einem Angreifer ermöglicht die torrc-Datei zu manipulieren, was weiterhin zu einer Kompromittierung der Anonymität des Benutzers führen kann. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (35784), Tenable (27726), SecurityFocus (BID 25188†), OSVDB (36271†) und Secunia (SA26301†) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-37228. Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Für den Vulnerability Scanner Nessus wurde am 06.11.2007 ein Plugin mit der ID 27726 (Fedora 7 : tor-0.1.2.16-1.fc7 (2007-1674)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Fedora Local Security Checks zugeordnet und im Kontext l ausgeführt.

Das ganze Konzept von Tor zielt darauf, die Anonymität seiner Nutzer zu wahren. Wird dieser Ansatz angegriffen oder gar umgestürzt, so resultiert dies in teils schwerwiegenden Konsequenzen. Es empfiehlt sich daher, trotz des Mangels an bekannten Details, das Update auf die neuste Version von Tor einzuspielen, um dieser Schwachstelle entgegenzuwirken.

Produktinfo

Typ

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 7.3
VulDB Meta Temp Score: 6.6

VulDB Base Score: 7.3
VulDB Temp Score: 6.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 27726
Nessus Name: Fedora 7 : tor-0.1.2.16-1.fc7 (2007-1674)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

OpenVAS ID: 861562
OpenVAS Name: Family Connections argv[1] Parameter Remote Arbitrary Command Execution Vulnerability
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Patch: tor.eff.org

Timelineinfo

02.08.2007 🔍
03.08.2007 +1 Tage 🔍
03.08.2007 +0 Tage 🔍
03.08.2007 +0 Tage 🔍
06.08.2007 +2 Tage 🔍
07.08.2007 +1 Tage 🔍
07.08.2007 +0 Tage 🔍
07.08.2007 +0 Tage 🔍
19.08.2007 +12 Tage 🔍
20.08.2007 +1 Tage 🔍
01.09.2007 +12 Tage 🔍
06.11.2007 +66 Tage 🔍
13.11.2007 +7 Tage 🔍
30.07.2019 +4277 Tage 🔍

Quelleninfo

Advisory: archives.seul.org
Firma: Tor
Status: Bestätigt

CVE: CVE-2007-4174 (🔍)
GCVE (CVE): GCVE-0-2007-4174
GCVE (VulDB): GCVE-100-3225
X-Force: 35784 - Tor ControlPort security bypass, Medium Risk
SecurityFocus: 25188 - Tor ControlPort Missing Authentication Unauthorized Access Vulnerability
Secunia: 26301
OSVDB: 36271 - Tor Unspecified ControlPort torrc Manipulation
SecurityTracker: 1018510
Vulnerability Center: 16793 - Tor Improper Handling of Multiple ControlPort Authentication Attempts Allows Service Privileges, Medium
Vupen: ADV-2007-2768

scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍

Eintraginfo

Erstellt: 20.08.2007 08:42
Aktualisierung: 30.07.2019 09:54
Anpassungen: 20.08.2007 08:42 (98), 30.07.2019 09:54 (2)
Komplett: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you know our Splunk app?

Download it now for free!