X.org X11 bis 1.4 Composite Pixmap Privilege Escalation

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.5$0-$5k0.00

Zusammenfassunginfo

Es wurde eine problematische Schwachstelle in X.org X11 bis 1.4 entdeckt. Hiervon betroffen ist ein unbekannter Codeblock der Komponente Composite Pixmap Handler. Durch Beeinflussen mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird unter CVE-2007-4730 geführt. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.

Detailsinfo

Der X.Org-Server ist eine Realisierung und die offizielle Referenz-Implementierung des X-Window-Systems. Er wird als Freie Software von der X.Org Foundation herausgegeben, die auch die Standards rund um das X-Window-System verwaltet und weiterentwickelt. In einem Bug Report erläutert Aaron Plattner eine Schwachstelle, bei der durch das Kopieren von Daten zwischen manipulierten Pixmaps ein Pufferüberlauf herbeigeführt werden kann, der zur Ausführung beliebigen Codes führt. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (36535), Tenable (67572), SecurityFocus (BID 25606†), OSVDB (37726†) und Secunia (SA27179†) dokumentiert. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Für den Vulnerability Scanner Nessus wurde am 12.07.2013 ein Plugin mit der ID 67572 (Oracle Linux 4 : xorg-x11 (ELSA-2007-0898)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Oracle Linux Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 165053 (SUSE Update for Xorg (SUSE-SA:2007:054)) zur Prüfung der Schwachstelle an.

Das X Window System ist sehr verbreitet auf unix-artigen Plattformen und daher grundsätzlich ein guter Angriffspunkte, gerade wenn es gilt Angriffe auf Clientsysteme durchzuführen. Serversysteme dürften in vielen Fällen eher selten betroffen sein. Dennoch gilt es, x.org-server baldmöglichst auf eine gesicherte Version zu bringen, weshalb sich ein Update binnen nützlicher Frist empfiehlt.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.3
VulDB Meta Temp Score: 5.5

VulDB Base Score: 6.3
VulDB Temp Score: 5.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Pufferüberlauf
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Teilweise
Lokal: Ja
Remote: Teilweise

Verfügbarkeit: 🔍
Status: Proof-of-Concept

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 67572
Nessus Name: Oracle Linux 4 : xorg-x11 (ELSA-2007-0898)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍

OpenVAS ID: 830332
OpenVAS Name: Zoho ManageEngine Support Center Plus Multiple Fields XSS Vulnerabilities
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Patch: lists.freedesktop.org

Timelineinfo

05.09.2007 🔍
06.09.2007 +1 Tage 🔍
09.09.2007 +3 Tage 🔍
09.09.2007 +0 Tage 🔍
10.09.2007 +1 Tage 🔍
10.09.2007 +0 Tage 🔍
11.09.2007 +1 Tage 🔍
11.09.2007 +0 Tage 🔍
12.09.2007 +0 Tage 🔍
16.09.2007 +4 Tage 🔍
19.09.2007 +3 Tage 🔍
15.10.2007 +26 Tage 🔍
12.07.2013 +2097 Tage 🔍
25.07.2019 +2204 Tage 🔍

Quelleninfo

Hersteller: x.org

Advisory: lists.freedesktop.org
Person: Aaron Plattner
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2007-4730 (🔍)
GCVE (CVE): GCVE-0-2007-4730
GCVE (VulDB): GCVE-100-3299

OVAL: 🔍

X-Force: 36535 - X.org X11 composite extension buffer overflow, High Risk
SecurityFocus: 25606 - X.Org X Server Composite Extension Local Buffer Overflow Vulnerability
Secunia: 27179
OSVDB: 37726 - X.org X11 compalloc.c compNewPixmap Function Composite Pixmap Handling Local Overflow
SecurityTracker: 1018665
Vulnerability Center: 16050 - X.org X11 Server <1.4 Local Code Execution due to a Buffer Overflow in the Composite Extension, Medium
Vupen: ADV-2007-3098

Eintraginfo

Erstellt: 19.09.2007 09:00
Aktualisierung: 25.07.2019 17:29
Anpassungen: 19.09.2007 09:00 (98), 25.07.2019 17:29 (1)
Komplett: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!