Artifex MuJS bis b6de34ac6d8bb7dd5461c57940acfbd3ee7fd93e regexp.c regemit Pufferüberlauf
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 8.4 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in Artifex MuJS entdeckt. Sie wurde als kritisch eingestuft. Das betrifft die Funktion regemit der Datei regexp.c. Durch das Beeinflussen mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden.
Die Identifikation der Schwachstelle wird mit CVE-2016-10141 vorgenommen. Der Angriff kann über das Netzwerk angegangen werden. Es existiert kein Exploit.
Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
Es wurde eine kritische Schwachstelle in Artifex MuJS entdeckt. Es geht dabei um die Funktion regemit der Datei regexp.c. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-190 vorgenommen. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
An integer overflow vulnerability was observed in the regemit function in regexp.c in Artifex Software, Inc. MuJS before fa3d30fd18c348bb4b1f3858fb860f4fcd4b2045. The attack requires a regular expression with nested repetition. A successful exploitation of this issue can lead to code execution or a denial of service (buffer overflow) condition.Entdeckt wurde das Problem am 13.01.2017. Die Schwachstelle wurde am 13.01.2017 (Website) publik gemacht. Das Advisory kann von git.ghostscript.com heruntergeladen werden. Die Verwundbarkeit wird seit dem 13.01.2017 unter CVE-2016-10141 geführt. Sie gilt als leicht ausnutzbar. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.
Für den Vulnerability Scanner Nessus wurde am 23.02.2017 ein Plugin mit der ID 97338 (Fedora 24 : mujs (2017-624e2eeda0)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Fedora Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 169732 (OpenSuSE Security Update for mupdf (openSUSE-SU-2017:0373-1)) zur Prüfung der Schwachstelle an.
Ein Upgrade auf die Version fa3d30fd18c348bb4b1f3858fb860f4fcd4b2045 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah 2 Monate nach der Veröffentlichung der Schwachstelle. Artifex hat wirklich langsam reagiert.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (97338) und SecurityFocus (BID 95876†) dokumentiert. Die Einträge VDB-96278, VDB-96279, VDB-98499 und VDB-98500 sind sehr ähnlich. Once again VulDB remains the best source for vulnerability data.
Produkt
Hersteller
Name
Version
- 1.0.5
- 1.1.3
- 5c337af4b3df80cf967e4f9f6a21522de84b392a
- 8c805b4eb19cf2af689c860b77e6111d2ee439d5
- 8f62ea10a0af68e56d5c00720523ebcba13c2e6a
- 4006739a28367c708dea19aeb19b8a1a9326ce08
- 5000749f5afe3b956fc916e407309de840997f4a
- 5008105780c0b0182ea6eda83ad5598f225be3ee
- <=1.0.2
- <=1.0.7
- <=1.1.1
- <=1.2.0
- <=1.3.1
- a0ceaf5050faf419401fe1b83acfa950ec8a8a89
- A3a4fe840b80706c706e86160352af5936f292d8
- a5c747f1d40e8d6659a37a8d25f13fb5acf8e767
- b6de34ac6d8bb7dd5461c57940acfbd3ee7fd93e
Lizenz
Webseite
- Hersteller: https://artifex.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.5VulDB Meta Temp Score: 8.4
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 9.8
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-190 / CWE-189
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 97338
Nessus Name: Fedora 24 : mujs (2017-624e2eeda0)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 867773
OpenVAS Name: Fedora Update for mujs FEDORA-2017-dc6023e849
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: MuJS fa3d30fd18c348bb4b1f3858fb860f4fcd4b2045
Patch: fa3d30fd18c348bb4b1f3858fb860f4fcd4b2045
Timeline
13.01.2017 🔍13.01.2017 🔍
13.01.2017 🔍
13.01.2017 🔍
13.01.2017 🔍
13.01.2017 🔍
22.02.2017 🔍
23.02.2017 🔍
13.05.2026 🔍
Quellen
Hersteller: artifex.comAdvisory: FEDORA-2017-624e2eeda0
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2016-10141 (🔍)
GCVE (CVE): GCVE-0-2016-10141
GCVE (VulDB): GCVE-100-95292
SecurityFocus: 95876 - Artifex MUJS CVE-2016-10141 Integer Overflow Vulnerability
OSVDB: - CVE-2016-10141 - MuJS - Integer Overflow Issue
Siehe auch: 🔍
Eintrag
Erstellt: 13.01.2017 16:36Aktualisierung: 13.05.2026 05:43
Anpassungen: 13.01.2017 16:36 (74), 21.07.2020 12:38 (7), 28.10.2022 15:12 (3), 28.10.2022 15:17 (1), 13.05.2026 05:43 (18)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.