| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.4 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in Crypto++ 5.6.4 gefunden. Sie wurde als kritisch eingestuft. Betroffen davon ist ein unbekannter Prozess. Mit der Manipulation mit unbekannten Daten kann eine Denial of Service-Schwachstelle (Pointer) ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2016-7544 gelistet. Umgesetzt werden kann der Angriff über das Netzwerk. Es existiert kein Exploit.
Details
In Crypto++ 5.6.4 wurde eine kritische Schwachstelle ausgemacht. Betroffen ist eine unbekannte Verarbeitung. Mit der Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle (Pointer) ausgenutzt werden. CWE definiert das Problem als CWE-399. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Crypto++ 5.6.4 incorrectly uses Microsoft's stack-based _malloca and _freea functions. The library will request a block of memory to align a table in memory. If the table is later reallocated, then the wrong pointer could be freed.Die Entdeckung des Problems geschah am 30.01.2017. Die Schwachstelle wurde am 30.01.2017 (Website) öffentlich gemacht. Das Advisory findet sich auf openwall.com. Die Verwundbarkeit wird seit dem 09.09.2016 als CVE-2016-7544 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 277167 (Fedora Security Update for cryptopp (FEDORA-2018-a0a356fb68)) zur Prüfung der Schwachstelle an.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 93164†) dokumentiert. Die Einträge VDB-91672 sind sehr ähnlich. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produkt
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.4VulDB Meta Temp Score: 7.4
VulDB Base Score: 7.3
VulDB Temp Score: 7.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 7.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Name: PointerKlasse: Denial of Service / Pointer
CWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
OpenVAS ID: 855382
OpenVAS Name: Fedora Update for cryptopp FEDORA-2018-5a249b4214
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
09.09.2016 🔍23.09.2016 🔍
30.01.2017 🔍
30.01.2017 🔍
30.01.2017 🔍
31.01.2017 🔍
11.11.2022 🔍
Quellen
Advisory: 302Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2016-7544 (🔍)
GCVE (CVE): GCVE-0-2016-7544
GCVE (VulDB): GCVE-100-96307
SecurityFocus: 93164 - Crypto++ CVE-2016-7544 Denial of Service Vulnerability
OSVDB: - CVE-2016-7544 - libcrypto++ - Denial of Service Issue
Siehe auch: 🔍
Eintrag
Erstellt: 31.01.2017 09:53Aktualisierung: 11.11.2022 09:38
Anpassungen: 31.01.2017 09:53 (63), 07.08.2020 16:42 (6), 11.11.2022 09:38 (3)
Komplett: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.