VDB-7903 · Bug 695104 · OSVDB 90953

GNOME Shell bis 3.7.90 Login Box Password Obscurer Eingabe Information Disclosure

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
3.6$0-$5k0.00

Zusammenfassunginfo

Es wurde eine problematische Schwachstelle in GNOME Shell bis 3.7.90 ausgemacht. Dies betrifft die Funktion Password Obscurer der Komponente Login Box. Durch Manipulieren durch Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Zusätzlich gibt es einen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.

Detailsinfo

In GNOME Shell bis 3.7.90 wurde eine problematische Schwachstelle entdeckt. Dabei geht es um die Funktion Password Obscurer der Komponente Login Box. Mittels dem Manipulieren durch Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-200. Auswirken tut sich dies auf die Vertraulichkeit.

Die Schwachstelle wurde am 04.03.2013 durch Marcus Moeller als Bug 695104 in Form eines nicht definierten Bug Reports (Website) öffentlich gemacht. Das Advisory findet sich auf bugzilla.gnome.org. Sie gilt als leicht auszunutzen. Der Angriff muss lokal angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1592 bezeichnet.

Es wurde sofort nach dem Advisory ein Exploit veröffentlicht. Der Exploit kann von bugzilla.gnome.org heruntergeladen werden. Er wird als proof-of-concept gehandelt.

Ein Aktualisieren auf die Version 3.7.91 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah 1 Tage nach der Veröffentlichung der Schwachstelle. GNOME hat damit unmittelbar gehandelt.

Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von OSVDB (90953†) dokumentiert. Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Produktinfo

Hersteller

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 4.0
VulDB Meta Temp Score: 3.6

VulDB Base Score: 4.0
VulDB Temp Score: 3.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Information Disclosure
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Teilweise
Lokal: Ja
Remote: Nein

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍

Upgrade: Shell 3.7.91

Timelineinfo

04.03.2013 🔍
04.03.2013 +0 Tage 🔍
05.03.2013 +1 Tage 🔍
08.03.2013 +3 Tage 🔍
04.05.2018 +1883 Tage 🔍

Quelleninfo

Hersteller: gnome.org

Advisory: Bug 695104
Person: Marcus Moeller
Status: Nicht definiert

GCVE (VulDB): GCVE-100-7903
OSVDB: 90953

scip Labs: https://www.scip.ch/?labs.20161013

Eintraginfo

Erstellt: 08.03.2013 13:59
Aktualisierung: 04.05.2018 09:07
Anpassungen: 08.03.2013 13:59 (51), 04.05.2018 09:07 (1)
Komplett: 🔍
Editor:
Cache ID: 216:838:103

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!