| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in FreeType 2.5.3 gefunden. Sie wurde als problematisch eingestuft. Hiervon betroffen ist die Funktion _bdf_parse_glyphs. Durch Beeinflussen mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden.
Die Identifikation der Schwachstelle findet als CVE-2014-9660 statt. Es steht kein Exploit zur Verfügung.
Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Eine problematische Schwachstelle wurde in FreeType 2.5.3 (Software Library) gefunden. Es geht hierbei um die Funktion _bdf_parse_glyphs. Mit der Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-476. Auswirken tut sich dies auf die Verfügbarkeit.
Die Schwachstelle wurde am 06.12.2014 durch Mateusz Jurczyk (j00ru) von Google als FreeType 2.5.4 in Form eines bestätigten Newss (Website) herausgegeben. Das Advisory findet sich auf freetype.org. Die Verwundbarkeit wird seit dem 07.02.2015 mit der eindeutigen Identifikation CVE-2014-9660 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 82509 (Amazon Linux AMI : freetype (ALAS-2015-502)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Amazon Linux Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 350200 (Amazon Linux Security Advisory for freetype: ALAS-2015-502) zur Prüfung der Schwachstelle an.
Ein Aktualisieren auf die Version 2.5.4 vermag dieses Problem zu lösen. Eine neue Version kann von sourceforge.net bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Die Entwickler haben demzufolge sofort gehandelt. Das Advisory stellt fest:
FreeType 2.5.4 has been released. All users should upgrade due to another fix for vulnerability CVE-2014-2240 in the CFF driver. The library also contains a new round of patches for better protection against malformed fonts.Unter anderem wird der Fehler auch in den Datenbanken von X-Force (100800), Tenable (82509), SecurityFocus (BID 72986†), SecurityTracker (ID 1031711†) und Vulnerability Center (SBV-48735†) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-69067, VDB-69068, VDB-69069 und VDB-69070. Be aware that VulDB is the high quality source for vulnerability data.
Produkt
Typ
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 5.1
VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-476 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 82509
Nessus Name: Amazon Linux AMI : freetype (ALAS-2015-502)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 14611
OpenVAS Name: Amazon Linux Local Check: ALAS-2015-502
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: FreeType 2.5.4
Patch: git.savannah.gnu.org
Timeline
06.12.2014 🔍06.12.2014 🔍
07.02.2015 🔍
08.02.2015 🔍
08.02.2015 🔍
08.02.2015 🔍
09.02.2015 🔍
24.02.2015 🔍
09.03.2015 🔍
08.03.2022 🔍
Quellen
Advisory: FreeType 2.5.4Person: Mateusz Jurczyk (j00ru)
Firma: Google
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2014-9660 (🔍)
GCVE (CVE): GCVE-0-2014-9660
GCVE (VulDB): GCVE-100-69071
OVAL: 🔍
X-Force: 100800
SecurityFocus: 72986 - FreeType Versions Prior to 2.5.4 Multiple Remote Vulnerabilities
SecurityTracker: 1031711 - FreeType Multiple Flaws Let Remote Users Bypass Security Features, Deny Service, and Execute Arbitrary Code
Vulnerability Center: 48735 - FreeType <2.5.4 Remote DoS or Code Execution due to Null Pointer Dereference via Crafted BDF Font, High
Siehe auch: 🔍
Eintrag
Erstellt: 09.02.2015 15:59Aktualisierung: 08.03.2022 19:46
Anpassungen: 09.02.2015 15:59 (75), 20.06.2017 08:54 (11), 08.03.2022 19:38 (4), 08.03.2022 19:46 (1)
Komplett: 🔍
Cache ID: 216:8D8:103
Be aware that VulDB is the high quality source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.