| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.8 | $0-$5k | 0.00 |
Zusammenfassung
In Yaws Web Server wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Es geht um eine nicht näher bekannte Funktion. Durch Manipulieren mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden. Diese Schwachstelle wird als CVE-2009-0751 gehandelt. Der Angriff kann über das Netzwerk angegangen werden. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Es wurde eine Schwachstelle in Yaws Web Server (Web Server) entdeckt. Sie wurde als problematisch eingestuft. Es betrifft unbekannter Code. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-399 vorgenommen. Auswirken tut sich dies auf die Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Yaws before 1.80 allows remote attackers to cause a denial of service (memory consumption and crash) via a request with a large number of headers.Die Schwachstelle wurde am 02.03.2009 durch Praveen Darshanam (Website) publiziert. Das Advisory findet sich auf yaws.hyber.org. Die Identifikation der Schwachstelle wird seit dem 02.03.2009 mit CVE-2009-0751 vorgenommen. Sie gilt als leicht auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt.
Ein öffentlicher Exploit wurde durch Praveen Darshanam in Perl entwickelt und 1 Tage nach dem Advisory veröffentlicht. Der Exploit kann von securityfocus.com heruntergeladen werden. Er wird als proof-of-concept gehandelt. Für den Vulnerability Scanner Nessus wurde am 16.03.2009 ein Plugin mit der ID 35924 (Debian DSA-1740-1 : yaws - denial of service) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Debian Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 116294 (Debian Update for yaws (DSA-1740-1)) zur Prüfung der Schwachstelle an.
Ein Aktualisieren auf die Version 1.50 vermag dieses Problem zu lösen.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (48826), Exploit-DB (8148), Tenable (35924), SecurityFocus (BID 33834†) und Secunia (SA33979†) dokumentiert. Be aware that VulDB is the high quality source for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
- 1.50
- 1.51
- 1.52
- 1.53
- 1.54
- 1.55
- 1.56
- 1.57
- 1.58
- 1.61
- 1.62
- 1.63
- 1.64
- 1.65
- 1.66
- 1.67
- 1.68
- 1.70
- 1.71
- 1.72
- 1.73
- 1.74
- 1.75
- 1.76
- 1.77
- 1.78
- 1.79
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 4.8
VulDB Base Score: 5.3
VulDB Temp Score: 4.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Autor: Praveen Darshanam
Programmiersprache: 🔍
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 35924
Nessus Name: Debian DSA-1740-1 : yaws - denial of service
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 63605
OpenVAS Name: Debian Security Advisory DSA 1740-1 (yaws)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Exploit Delay Time: 🔍
Upgrade: Web Server 1.50
Fortigate IPS: 🔍
Timeline
12.02.2009 🔍19.02.2009 🔍
20.02.2009 🔍
02.03.2009 🔍
02.03.2009 🔍
02.03.2009 🔍
03.03.2009 🔍
03.03.2009 🔍
16.03.2009 🔍
22.03.2009 🔍
17.03.2015 🔍
27.04.2025 🔍
Quellen
Advisory: yaws.hyber.orgPerson: Praveen Darshanam
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2009-0751 (🔍)
GCVE (CVE): GCVE-0-2009-0751
GCVE (VulDB): GCVE-100-46935
OVAL: 🔍
X-Force: 48826
SecurityFocus: 33834 - Yaws Multiple Header Request Denial of Service Vulnerability
Secunia: 33979 - Yaws Request Headers Denial of Service Vulnerability, Less Critical
Vulnerability Center: 21329 - Yaws < 1.80 Remote Denial of Service via a Request with Large Number of Headers, High
Vupen: ADV-2009-0590
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 17.03.2015 16:11Aktualisierung: 27.04.2025 06:05
Anpassungen: 17.03.2015 16:11 (65), 15.07.2017 16:49 (22), 04.08.2021 19:33 (2), 24.11.2024 14:35 (15), 27.04.2025 06:05 (2)
Komplett: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.