Adam Kennedy Crypt-DSA bis 1.17 Crypt::DSA schwache Verschlüsselung
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.5 | $0-$5k | 0.00 |
Zusammenfassung
Eine kritische Schwachstelle wurde in Adam Kennedy Crypt-DSA bis 1.17 ausgemacht. Hierbei betrifft es die Funktion Crypt::DSA. Durch Manipulieren mit unbekannten Daten kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden.
Die Verwundbarkeit wird unter CVE-2011-3599 geführt. Es ist soweit kein Exploit verfügbar.
Details
Es wurde eine kritische Schwachstelle in Adam Kennedy Crypt-DSA bis 1.17 gefunden. Betroffen hiervon ist die Funktion Crypt::DSA. Durch das Manipulieren mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-310 vorgenommen. Auswirkungen hat dies auf Vertraulichkeit und Integrität. Die Zusammenfassung von CVE lautet:
The Crypt::DSA (aka Crypt-DSA) module 1.17 and earlier for Perl, when /dev/random is absent, uses the Data::Random module, which makes it easier for remote attackers to spoof a signature, or determine the signing key of a signed message, via a brute-force attack.Die Schwachstelle wurde am 10.10.2011 (Website) publiziert. Bereitgestellt wird das Advisory unter rt.cpan.org. Die Identifikation der Schwachstelle wird seit dem 21.09.2011 mit CVE-2011-3599 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1600 aus.
Für den Vulnerability Scanner Nessus wurde am 26.09.2013 ein Plugin mit der ID 70133 (Mandriva Linux Security Advisory : perl-Crypt-DSA (MDVSA-2013:241)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Mandriva Local Security Checks zugeordnet.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (70295), Tenable (70133), SecurityFocus (BID 49928†), OSVDB (76025†) und Secunia (SA46275†) dokumentiert. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.5VulDB Meta Temp Score: 6.5
VulDB Base Score: 6.5
VulDB Temp Score: 6.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Schwache VerschlüsselungCWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 70133
Nessus Name: Mandriva Linux Security Advisory : perl-Crypt-DSA (MDVSA-2013:241)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 866893
OpenVAS Name: Fedora Update for perl-Crypt-DSA FEDORA-2013-15755
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
21.09.2011 🔍04.10.2011 🔍
04.10.2011 🔍
04.10.2011 🔍
10.10.2011 🔍
10.10.2011 🔍
15.09.2013 🔍
26.09.2013 🔍
23.03.2015 🔍
23.11.2021 🔍
Quellen
Advisory: rt.cpan.orgStatus: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2011-3599 (🔍)
GCVE (CVE): GCVE-0-2011-3599
GCVE (VulDB): GCVE-100-58989
X-Force: 70295
SecurityFocus: 49928 - Perl Crypt-DSA Module Random Number Values Security Weakness
Secunia: 46275 - Perl Crypt-DSA Module Insecure Random Number Generator Security Issue, Less Critical
OSVDB: 76025
Vulnerability Center: 41500 - Crypt::DSA Module 1.17 For Perl Allows Remote Spoofing via Brute Force Attack, Medium
Eintrag
Erstellt: 23.03.2015 16:50Aktualisierung: 23.11.2021 14:22
Anpassungen: 23.03.2015 16:50 (67), 11.05.2017 08:46 (6), 23.11.2021 14:22 (3)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.