| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.3 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle, die als kritisch eingestuft wurde, wurde in Dillo gefunden. Hiervon betroffen ist die Funktion Png_datainfo_callback. Die Veränderung resultiert in Remote Code Execution.
Diese Verwundbarkeit ist als CVE-2009-2294 gelistet. Es existiert kein Exploit.
Details
Eine kritische Schwachstelle wurde in Dillo gefunden. Dies betrifft die Funktion Png_datainfo_callback. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Remote Code Execution-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-189. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Integer overflow in the Png_datainfo_callback function in Dillo 2.1 and earlier allows remote attackers to cause a denial of service (crash) and possibly execute arbitrary code via a PNG image with crafted (1) width or (2) height values.Die Schwachstelle wurde am 03.07.2009 durch Tielei Wang in Form eines nicht definierten Postings (Bugtraq) herausgegeben. Bereitgestellt wird das Advisory unter securityfocus.com. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2009-2294 gehandelt. Das Ausnutzen gilt als leicht. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Für den Vulnerability Scanner Nessus wurde am 20.08.2009 ein Plugin mit der ID 40635 (GLSA-200908-10 : Dillo: User-assisted execution of arbitrary code) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Gentoo Local Security Checks zugeordnet.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (51546), Tenable (40635), SecurityFocus (BID 35575†), OSVDB (55656†) und Vulnerability Center (SBV-23271†) dokumentiert. Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Produkt
Name
Version
- 0.0.0
- 0.0.1
- 0.0.2
- 0.0.3
- 0.0.4
- 0.0.5
- 0.0.6
- 0.0.42
- 0.0.43
- 0.1.0
- 0.2.1
- 0.2.2
- 0.2.3
- 0.2.4
- 0.3.1
- 0.3.2
- 0.5.0
- 0.5.1
- 0.6.1
- 0.6.2
- 0.6.3
- 0.6.4
- 0.6.5
- 0.6.6
- 0.7
- 0.7.1
- 0.7.1.2
- 0.7.2
- 0.7.3
- 0.8
- 0.8.1
- 0.8.2
- 0.8.3
- 0.8.4
- 0.8.5
- 0.8.6
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 7.3
VulDB Base Score: 7.3
VulDB Temp Score: 7.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Remote Code ExecutionCWE: CWE-189
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 40635
Nessus Name: GLSA-200908-10 : Dillo: User-assisted execution of arbitrary code
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 64767
OpenVAS Name: Gentoo Security Advisory GLSA 200908-10 (dillo)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
02.07.2009 🔍03.07.2009 🔍
03.07.2009 🔍
03.07.2009 🔍
05.07.2009 🔍
06.07.2009 🔍
20.08.2009 🔍
24.08.2009 🔍
17.03.2015 🔍
12.08.2021 🔍
Quellen
Advisory: securityfocus.com⛔Person: Tielei Wang
Status: Nicht definiert
CVE: CVE-2009-2294 (🔍)
GCVE (CVE): GCVE-0-2009-2294
GCVE (VulDB): GCVE-100-48857
X-Force: 51546
SecurityFocus: 35575 - Dillo 'Png_datainfo_callback()' Integer Overflow Vulnerability
OSVDB: 55656 - Dillo Web Browser Png_datainfo_callback() Function PNG File Handling Overflow
Vulnerability Center: 23271 - Dillo \x3C\x3D 2.1 PNG_Datainfo_Callback Function Remote Arbitrary Code Execution Vulnerability, Medium
Eintrag
Erstellt: 17.03.2015 23:38Aktualisierung: 12.08.2021 08:56
Anpassungen: 17.03.2015 23:38 (61), 13.02.2017 10:22 (9), 12.08.2021 08:51 (3), 12.08.2021 08:56 (1)
Komplett: 🔍
Cache ID: 216:780:103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.