SensioLabs Symfony bis 2.3.36/2.6.12/2.7.8 auf PHP5 SecureRandom Class SecureRandom.php nextBytes schwache Verschlüsselung

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
7.2$0-$5k0.00

Zusammenfassunginfo

Eine kritische Schwachstelle wurde in SensioLabs Symfony bis 2.3.36/2.6.12/2.7.8 für PHP5 ausgemacht. Hierbei betrifft es die Funktion nextBytes der Datei Symfony/Component/Security/Core/Util/SecureRandom.php der Komponente SecureRandom Class. Durch Manipulation mit unbekannten Daten kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird unter CVE-2016-1902 geführt. Der Angriff lässt sich über das Netzwerk starten. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.

Detailsinfo

Es wurde eine kritische Schwachstelle in SensioLabs Symfony bis 2.3.36/2.6.12/2.7.8 auf PHP5 (Programming Tool Software) gefunden. Betroffen hiervon ist die Funktion nextBytes der Datei Symfony/Component/Security/Core/Util/SecureRandom.php der Komponente SecureRandom Class. Durch das Manipulieren mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-310 vorgenommen. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

The nextBytes function in the SecureRandom class in Symfony before 2.3.37, 2.6.x before 2.6.13, and 2.7.x before 2.7.9 does not properly generate random numbers when used with PHP 5.x without the paragonie/random_compat library and the openssl_random_pseudo_bytes function fails, which makes it easier for attackers to defeat cryptographic protection mechanisms via unspecified vectors.

Die Schwachstelle wurde am 01.06.2016 als #17359 in Form eines bestätigten GIT Commits (GIT Repository) publiziert. Das Advisory findet sich auf github.com. Die Identifikation der Schwachstelle wird mit CVE-2016-1902 vorgenommen. Die Schwachstelle ist relativ beliebt, und dies trotz ihrer hohen Komplexität. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1600 bezeichnet.

Ein Suchen von inurl:Symfony/Component/Security/Core/Util/SecureRandom.php lässt dank Google Hacking potentiell verwundbare Systeme finden. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 91365 (Debian DSA-3588-1 : symfony - security update) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Debian Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 175750 (Debian Security Update for symfony (DSA 3588-1)) zur Prüfung der Schwachstelle an.

Ein Aktualisieren auf die Version 2.3.37, 2.6.13 oder 2.7.9 vermag dieses Problem zu lösen. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches lösen. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. SensioLabs hat nachweislich unmittelbar gehandelt. Die Schwachstelle wird durch folgenden Code angegangen:

return random_bytes($nbBytes);

Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (91365) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: VDB-87705. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 7.4
VulDB Meta Temp Score: 7.2

VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 7.5
NVD Vector: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Schwache Verschlüsselung
CWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 91365
Nessus Name: Debian DSA-3588-1 : symfony - security update
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍

OpenVAS ID: 703588
OpenVAS Name: Debian Security Advisory DSA 3588-1 (symfony - security update)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Upgrade: Symfony 2.3.37/2.6.13/2.7.9
Patch: github.com

Timelineinfo

14.01.2016 🔍
01.06.2016 +139 Tage 🔍
01.06.2016 +0 Tage 🔍
01.06.2016 +0 Tage 🔍
02.06.2016 +1 Tage 🔍
22.08.2022 +2272 Tage 🔍

Quelleninfo

Advisory: #17359
Status: Bestätigt

CVE: CVE-2016-1902 (🔍)
GCVE (CVE): GCVE-0-2016-1902
GCVE (VulDB): GCVE-100-87699

OVAL: 🔍
Siehe auch: 🔍

Eintraginfo

Erstellt: 02.06.2016 13:23
Aktualisierung: 22.08.2022 15:53
Anpassungen: 02.06.2016 13:23 (52), 14.06.2018 22:17 (20), 22.08.2022 15:41 (2), 22.08.2022 15:47 (11), 22.08.2022 15:53 (1)
Komplett: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!