Valve SteamOS 1.0 Authentication Username/Password authentification faible
| CVSS Score méta-temporaire | Prix actuel de l'exploit (≈) | Score d'intérêt CTI |
|---|---|---|
| 5.0 | $0-$5k | 0.00 |
Résumé
Une vulnérabilité a été trouvé dans Valve SteamOS 1.0 et classée critique. La partie affectée est une fonction inconnue du composant Authentification. La manipulation du paramètre Username/Password de la valeur d'entrée steam avec une valeur d'entrée inconnue mène à une vulnérabilité de classe authentification faible.
Par ailleurs, un exploit est disponible.
La meilleure solution suggérée pour atténuer le problème est de changement des paramètres de configuration.
Détails
Une vulnérabilité qui a été classée critique a été trouvée dans Valve SteamOS 1.0. Ceci affecte une fonction inconnue du composant Authentication. A cause de la manipulation du paramètre Username/Password de la valeur d'entrée steam mène à une vulnérabilité de classe authentification faible.
La vulnerabilité a été publié en 16/12/2013 par Tim Brown avec Portcullis Computer Security Ltd. avec le numéro d'identification Evaluating SteamOS’s security posture (a first look) avec posting (Blog) (confirmé). La notice d'information est disponible en téléchargement sur labs.portcullis.co.uk L'attaque peut être initialisée à distance. Des details techniques et aussi un public exploit sont connus.
Après immédiatement un exploit a été rendu public. L'exploit est disponible au téléchargment sur labs.portcullis.co.uk. Il est déclaré comme preuve de concept.
Il est possible d'atténuer le problème en utilisant le paramètre de configuration Change Password. Une solution envisageable a été publiée immédiatement après la publication de la vulnérabilité.
La vulnérabilité est aussi documentée dans la base de données OSVDB (101848†). Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Produit
Fournisseur
Nom
Version
Licence
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vecteur: 🔍VulDB Fiabilité: 🔍
CVSSv3
VulDB Score méta-base: 5.4VulDB Score méta-temporaire: 5.0
VulDB Note de base: 5.4
VulDB Note temporaire: 5.0
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vecteur | Complexité | Authentification | Confidentialité | Intégrité | Disponibilité |
|---|---|---|---|---|---|
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
VulDB Note de base: 🔍
VulDB Note temporaire: 🔍
VulDB Fiabilité: 🔍
Exploitation
Classe: Authentification faibleCWE: CWE-798 / CWE-259 / CWE-255
CAPEC: 🔍
ATT&CK: 🔍
Physique: Non
Local: Non
Remote: Oui
Disponibilité: 🔍
Accès: Public
Statut: Preuve de concept
Télécharger: 🔍
Prédiction de prix: 🔍
Estimation actuelle des prix: 🔍
| 0-Day | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
|---|---|---|---|---|
| Aujourd'hui | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
Renseignements sur les menaces
Intérêt: 🔍Acteurs actifs: 🔍
Groupes APT actifs: 🔍
Contre-mesures
Recommandé: ConfigStatut: 🔍
Temps de réaction: 🔍
Heure 0 jour: 🔍
Temps d'exposition: 🔍
Délai d'exploitation: 🔍
Config: Change Password
Chronologie
16/12/2013 🔍16/12/2013 🔍
16/12/2013 🔍
09/01/2014 🔍
24/03/2019 🔍
Sources
Bulletin: Evaluating SteamOS’s security posture (a first look)Chercheur: Tim Brown
Organisation: Portcullis Computer Security Ltd.
Statut: Confirmé
GCVE (VulDB): GCVE-100-11779
OSVDB: 101848
scip Labs: https://www.scip.ch/en/?labs.20161013
Entrée
Créé: 09/01/2014 13:41Mise à jour: 24/03/2019 10:45
Changements: 09/01/2014 13:41 (50), 24/03/2019 10:45 (1)
Complet: 🔍
Cache ID: 216:0CA:103
Aucun commentaire pour l'instant. Langues: fr + it + en.
Veuillez vous connecter pour commenter.