Linux-PAM 0.99.1.0 à 1.1.4 _assemble_line buffer overflow

entréeeditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Exploit Prix Actuel (≈)
CTI Interest Score
5.7$0-$5k0.00

Une vulnérabilité qui a été classée problématique a été trouvée dans Linux-PAM. Affecté par cette vulnérabilité est la fonction _assemble_line. A cause de la manipulation avec une valeur d'entrée inconnue mène à une vulnérabilité de classe buffer overflow.

La vulnerabilité a été publié en 22/07/2012 avec git commit (GIT Repository) (confirmé). La notice d'information est disponible en téléchargement sur git.fedorahosted.org Cette vulnérabilité est connue comme CVE-2011-3148. Résultat facile à exploiter. L'attaque ne peut être réalisée que locallement. Aucune forme d'authentification est requise pour l'exploitation. Les détails technniques sont connus, mais aucun exploite n'est disponible.

Le scanner de vulnérabilités Nessus propose un module ID 69719 (Amazon Linux AMI : pam (ALAS-2013-160)), lequel aide à déterminer l'existence d'une faille dans l'environnement-cible.

Mettre à jour à la version 0.99.7.0 élimine cette vulnérabilité. En appliquant un correctif il est possible d'éliminer le problème. Le correctif est disponible au téléchargement sur git.fedorahosted.org. La meilleure solution suggérée pour atténuer le problème est d'appliquer le correctif au composant infecté.

La vulnérabilité est aussi documentée dans les base de données SecurityFocus (BID 50343), X-Force (70935), Vulnerability Center (SBV-33654) et Tenable (69719).

Produitinfoedit

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 5.9
VulDB Meta Temp Score: 5.7

VulDB Base Score: 5.9
VulDB Temp Score: 5.7
VulDB Vector: 🔍
VulDB Fiabilité: 🔍

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Fiabilité: 🔍

NVD Base Score: 🔍

Exploitinginfoedit

Classe: Buffer overflow
CWE: CWE-119
ATT&CK: Inconnue

Localement: Oui
Remote: Non

Disponibilité: 🔍
Status: Non défini

Prédiction de prix: 🔍
Estimation actuelle des prix: 🔍

0-Dayunlockunlockunlockunlock
Aujourd'huiunlockunlockunlockunlock

Nessus ID: 69719
Nessus Name: Amazon Linux AMI : pam (ALAS-2013-160)
Nessus File: 🔍
Nessus Family: 🔍
Nessus Port: 🔍

OpenVAS ID: 70541
OpenVAS Name: Debian Security Advisory DSA 2326-1 (pam)
OpenVAS File: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfoedit

Menace: 🔍
Les adversaires: 🔍
Géopolitique: 🔍
Économie: 🔍
Prédictions: 🔍
Contre-mesures: 🔍

Contre-mesuresinfoedit

Recommandé: Patch
Status: 🔍

0-Day Time: 🔍

Upgrade: Linux-PAM 0.99.7.0
Patch: git.fedorahosted.org
TippingPoint: 🔍

Chronologieinfoedit

14/10/2011 🔍
24/10/2011 +10 jours 🔍
31/10/2011 +7 jours 🔍
22/07/2012 +265 jours 🔍
22/07/2012 +0 jours 🔍
04/09/2013 +409 jours 🔍
23/03/2015 +565 jours 🔍
23/01/2017 +672 jours 🔍
04/04/2017 +71 jours 🔍

Sourcesinfoedit

Bulletin: git.fedorahosted.org
Status: Confirmé

CVE: CVE-2011-3148 (🔍)
OVAL: 🔍

SecurityFocus: 50343 - Linux-PAM 'pam_env' Module Multiple Local Privilege Escalation Vulnerabilities
X-Force: 70935
Vulnerability Center: 33654 - Linux-PAM 1.1.2 and Earlier \x27pam_env\x27 Modules Local Privilege Escalation, Medium

Voir aussi: 🔍

Entréeinfoedit

Établi: 23/03/2015 16:50
Mise à jour: 04/04/2017 11:30
Changements: (9) vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai source_oval_id source_securityfocus_date source_securityfocus_class
Compléter: 🔍

commentaires

Aucun commentaire pour l'instant. Veuillez vous connecter pour commenter.

Do you know our Splunk app?

Download it now for free!