| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine problematische Schwachstelle in CVS gefunden. Dabei betrifft es einen unbekannter Codeteil der Datei history.c der Komponente Error Message Handler. Die Manipulation des Arguments -X führt zu Information Disclosure. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2004-0778 gehandelt. Der Angriff kann über das Netzwerk passieren. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
Das Concurrent Version System (CVS) ist ein der General Public License (GPL) unterliegendes Projekt. Die Software, sowohl für Linux/Unix als auch Windows erhältlich, wird gebraucht, um das Version-Management bei Software-Entwicklungen zu gewährleisten. Vor allem in grösseren Projekten und ganz besonders im open-source Umfeld geniesst CVS eine hohe Verbreitung. iDEFENSE hat ein eingekauftes Advisory herausgegeben, dass eine Designschwachstelle in CVS bis 1.12.9 behandelt. Durch das undokumentierte History-Feature in src/history.c, das über den Schalter -X aktiviert wird, kann ein Angreifer Informationen über die Existenz von Dateien erhalten. Das Problem liegt darin, dass das CVS bei der Anforderung für Dateien jenachdem eine andere Rückmeldung liefert, ob die Datei nun existiert bzw. ob die Leserechte für den Zugriff vorhanden sind. Das Problem wurde in CVS 1.12.9 behoben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (17001), Tenable (14313), SecurityFocus (BID 10955†), OSVDB (8977†) und Secunia (SA12309†) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Für den Vulnerability Scanner Nessus wurde am 20.08.2004 ein Plugin mit der ID 14313 (CVS history.c File Existence Information Disclosure) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Misc. zugeordnet und im Kontext r ausgeführt.
Undokumentierte Features sind eine heikle Sache, vor allem wenn durch unüberlegte Implementierungen durch Seiten der Entwickler Sicherheitsschwachstellen gegeben sein können. Der hier vorgetragene Umstand sollte klar machen, dass es Features zu deklarieren und mit der nötigen Sorgfalt umzusetzen gilt.
Produkt
Name
Version
- 1.10.6
- 1.10.7
- 1.10.8
- 1.11
- 1.11.1
- 1.11.1 P1
- 1.11.2
- 1.11.3
- 1.11.4
- 1.11.5
- 1.11.6
- 1.11.10
- 1.11.11
- 1.11.14
- 1.11.15
- 1.11.16
- 1.12.1
- 1.12.2
- 1.12.5
- 1.12.7
- 1.12.8
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 5.1
VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 14313
Nessus Name: CVS history.c File Existence Information Disclosure
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 14313
OpenVAS Name: CVS file existence information disclosure weakness
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: CVS 1.12.9
Patch: ccvs.cvshome.org
TippingPoint: 🔍
Timeline
09.06.2004 🔍22.07.2004 🔍
11.08.2004 🔍
16.08.2004 🔍
16.08.2004 🔍
16.08.2004 🔍
17.08.2004 🔍
17.08.2004 🔍
20.08.2004 🔍
23.08.2004 🔍
06.09.2004 🔍
20.10.2004 🔍
16.12.2024 🔍
Quellen
Advisory: idefense.com⛔Person: Sebastian Krahmer (iDefense)
Firma: iDEFENSE
Status: Bestätigt
CVE: CVE-2004-0778 (🔍)
GCVE (CVE): GCVE-0-2004-0778
GCVE (VulDB): GCVE-100-794
OVAL: 🔍
CERT: 🔍
X-Force: 17001 - CVS history information disclosure, Medium Risk
SecurityFocus: 10955 - CVS Undocumented History Flag Information Disclosure Vulnerability
Secunia: 12309 - CVS File Existence Information Disclosure Weakness, Not Critical
OSVDB: 8977 - CVS history.c File Existence Information Disclosure
SecurityTracker: 1010958
SecuriTeam: securiteam.com
Vulnerability Center: 5307 - CVS Allows Files Existence Disclosure, Medium
Eintrag
Erstellt: 23.08.2004 11:17Aktualisierung: 16.12.2024 03:59
Anpassungen: 23.08.2004 11:17 (99), 29.06.2019 09:15 (2), 16.12.2024 03:59 (16)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.