| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.8 | $0-$5k | 0.00 |
Zusammenfassung
Eine problematische Schwachstelle wurde in VMware ESX Server 3.x ausgemacht. Es ist betroffen eine unbekannte Funktion der Komponente VCB Command Line Handler. Mittels Manipulieren mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2007-5269 vorgenommen. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
VMware, Inc., ist ein US-amerikanisches Unternehmen, das Software im Bereich der Virtualisierung herstellt. Die Firma wurde 1998 mit dem Ziel gegründet, eine Technik zu entwickeln, virtuelle Maschinen auf Standard-Computern zur Anwendung zu bringen. Das bekannteste Produkt ist VMware Workstation. Im - ebenfalls unter der Flagge von VMware vertriebenen - ESX Server hat der Hersteller unlängst eine Schwachstelle kommuniziert. Es handelt sich hierbei um einen Designfehler. Die VMware Consolidated Backup Kommandozeilen-Tools erlauben die Übergabe des Passworts als Parameter. Dadurch kann dieses z.B. Per "ps" ausgelesen werden. Unter anderem wird der Fehler auch in den Datenbanken von Tenable (67594), SecurityFocus (BID 28276†), OSVDB (38274†), Secunia (SA31713†) und SecurityTracker (ID 1018849†) dokumentiert. Die Schwachstellen VDB-2574, VDB-39245, VDB-39887 und VDB-42782 sind ähnlich. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Für den Vulnerability Scanner Nessus wurde am 12.07.2013 ein Plugin mit der ID 67594 (Oracle Linux 3 / 4 / 5 : libpng (ELSA-2007-0992)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Oracle Linux Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 115928 (VMware Security Update (VMSA-2008-0014)) zur Prüfung der Schwachstelle an.
Eine ebenso schlichte wie effektive Schwachstelle, die zwar lediglicha ls problematisch anzusehen ist, aber dennoch nicht unterschätzt werden sollte. Sofern möglich, sollten hier die angekündigten Patches des Herstellers zeitnah installiert werden.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.vmware.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 4.8
VulDB Base Score: 5.3
VulDB Temp Score: 4.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 67594
Nessus Name: Oracle Linux 3 / 4 / 5 : libpng (ELSA-2007-0992)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 63682
OpenVAS Name: Debian Security Advisory DSA 1750-1 (libpng)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Timeline
04.10.2007 🔍08.10.2007 🔍
08.10.2007 🔍
08.10.2007 🔍
14.10.2007 🔍
23.10.2007 🔍
16.11.2007 🔍
17.03.2008 🔍
01.09.2008 🔍
01.09.2008 🔍
19.09.2008 🔍
12.07.2013 🔍
27.07.2019 🔍
Quellen
Hersteller: vmware.comAdvisory: lists.grok.org.uk
Firma: VMware
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2007-5269 (🔍)
GCVE (CVE): GCVE-0-2007-5269
GCVE (VulDB): GCVE-100-3813
OVAL: 🔍
SecurityFocus: 28276 - VMware Server 1.0.5 and Workstation 6.0.3 Multiple Vulnerabilities
Secunia: 31713
OSVDB: 38274 - libpng multiple functions denial of service
SecurityTracker: 1018849
Vulnerability Center: 16511 - Libpng Chunk-Handlers Remote DoS via Out-of-Bounds Read Operations, Medium
Vupen: ADV-2008-2466
scip Labs: https://www.scip.ch/?labs.20060413
Siehe auch: 🔍
Eintrag
Erstellt: 19.09.2008 13:13Aktualisierung: 27.07.2019 14:41
Anpassungen: 19.09.2008 13:13 (93), 27.07.2019 14:41 (3)
Komplett: 🔍
Cache ID: 216:6BC:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.