| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.5 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in Curtis Galloway exif 0.6.20 gefunden. Sie wurde als problematisch eingestuft. Es geht dabei um die Funktion jpeg_data_load_data der Datei jpeg-data.c. Mittels Manipulieren mit unbekannten Daten kann eine unbekannte Schwachstelle ausgenutzt werden.
Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2012-2845 vorgenommen. Es gibt keinen verfügbaren Exploit.
Details
Eine Schwachstelle wurde in Curtis Galloway exif 0.6.20 entdeckt. Sie wurde als kritisch eingestuft. Betroffen davon ist die Funktion jpeg_data_load_data der Datei jpeg-data.c. Klassifiziert wurde die Schwachstelle durch CWE als CWE-189. Die Auswirkungen sind bekannt für Vertraulichkeit und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Integer overflow in the jpeg_data_load_data function in jpeg-data.c in libjpeg in exif 0.6.20 allows remote attackers to cause a denial of service (buffer over-read and application crash) or obtain potentially sensitive information via a crafted JPEG file.Die Schwachstelle wurde am 13.07.2012 durch Mateusz Jurczyk (Website) herausgegeben. Das Advisory findet sich auf mandriva.com. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2012-2845 gehandelt. Die Ausnutzbarkeit gilt als leicht. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Für den Vulnerability Scanner Nessus wurde am 27.07.2012 ein Plugin mit der ID 60132 (Fedora 17 : exif-0.6.21-1.fc17 (2012-10854)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Fedora Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 121339 (Solaris Multiple Vulnerabilities in libexif) zur Prüfung der Schwachstelle an.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (76909), Tenable (60132), SecurityFocus (BID 54437†), Secunia (SA49988†) und Vulnerability Center (SBV-35657†) dokumentiert. Die Schwachstellen VDB-61282, VDB-61281, VDB-61280 und VDB-61279 sind ähnlich. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produkt
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.5VulDB Meta Temp Score: 6.5
VulDB Base Score: 6.5
VulDB Temp Score: 6.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: UnbekanntCWE: CWE-189
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 60132
Nessus Name: Fedora 17 : exif-0.6.21-1.fc17 (2012-10854)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 71972
OpenVAS Name: Slackware Advisory SSA:2012-200-01 libexif
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
19.05.2012 🔍12.07.2012 🔍
13.07.2012 🔍
13.07.2012 🔍
13.07.2012 🔍
19.07.2012 🔍
24.07.2012 🔍
27.07.2012 🔍
23.03.2015 🔍
06.12.2021 🔍
Quellen
Advisory: mandriva.comPerson: Mateusz Jurczyk
Status: Nicht definiert
CVE: CVE-2012-2845 (🔍)
GCVE (CVE): GCVE-0-2012-2845
GCVE (VulDB): GCVE-100-61283
X-Force: 76909
SecurityFocus: 54437 - libexif Multiple Remote Vulnerabilities
Secunia: 49988 - Slackware update for libexif, Moderately Critical
Vulnerability Center: 35657 - Libjpeg in Exif 0.6.20 Remote DoS or Arbitrary Code Execution Vulnerability via a Crafted JPEG File, Medium
Siehe auch: 🔍
Eintrag
Erstellt: 23.03.2015 16:50Aktualisierung: 06.12.2021 09:04
Anpassungen: 23.03.2015 16:50 (64), 14.04.2017 14:49 (11), 06.12.2021 09:01 (3), 06.12.2021 09:04 (1)
Komplett: 🔍
Cache ID: 216:970:103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.