| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
सारांश
एक भेद्यता जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, GnuTLS तक 2.7.5 में खोजी गई है। प्रभावित है एक अज्ञात फ़ंक्शन X.509 Certificate Handler घटक का हिस्सा है। यह परिवर्तन अधिकार वृद्धि का कारण बनता है। इस संवेदनशीलता को CVE-2009-5138 के रूप में जाना जाता है। कोई एक्सप्लॉइट उपलब्ध नहीं है। इस भेद्यता का ऐतिहासिक प्रभाव है क्योंकि इसकी पृष्ठभूमि और प्रतिक्रिया महत्वपूर्ण रही है। इस समस्या को ठीक करने के लिए पैच लागू करने की सिफारिश की जाती है।
विवरण
एक भेद्यता जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, GnuTLS तक 2.7.5 में खोजी गई है। प्रभावित है एक अज्ञात फ़ंक्शन X.509 Certificate Handler घटक का हिस्सा है। यह परिवर्तन अधिकार वृद्धि का कारण बनता है। समस्या को घोषित करने के लिए CWE का उपयोग करने से CWE-264 की ओर ले जाता है। यह कमजोरी प्रकाशित हुई थी 03/03/2014 द्वारा Daniel Kahn Gillmor के रूप में Re: gnutls fails to use Verisign CA cert without a Basic Constraint के रूप में Posting (Newsgroup). thread.gmane.org पर यह परामर्श डाउनलोड हेतु उपलब्ध कराया गया है। विक्रेता के साथ सार्वजनिक रिलीज़ का समन्वय किया गया है।
इस संवेदनशीलता को CVE-2009-5138 के रूप में जाना जाता है। CVE असाइनमेंट 26/02/2014 को हुआ। कोई तकनीकी विवरण उपलब्ध नहीं है। यह भेद्यता सामान्य से अधिक लोकप्रिय है। कोई एक्सप्लॉइट उपलब्ध नहीं है। वर्तमान में एक एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है। अगर T1068 की वैल्यू है, तो MITRE ATT&CK प्रोजेक्ट इस अटैक टेक्नीक को T1068 के रूप में घोषित करता है। इस भेद्यता का ऐतिहासिक प्रभाव है क्योंकि इसकी पृष्ठभूमि और प्रतिक्रिया महत्वपूर्ण रही है। इस भेद्यता का स्रोत यह कोड का भाग है:
flags ^= GNUTLS_VERIFY_ALLOW_X509_V1_CA_CRT;
इस भेद्यता को कम से कम 2245 दिनों के लिए गैर-प्रकाशित ज़ीरो-डे एक्सप्लॉइट के रूप में माना गया था। 0-डे के तौर पर इसकी अनुमानित अवैध बाजार कीमत करीब $5k-$25k थी. Nessus द्वारा 72794 आईडी वाला एक प्लगइन दिया गया है। इसे Red Hat Local Security Checks फैमिली के अंतर्गत रखा गया है। यह 0 पोर्ट पर आधारित है. वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 166830 प्लगइन से कर सकता है (SUSE Enterprise Linux Security Update for gnutls (SUSE-SU-2014:0320-1)).
आप gitorious.org से बगफिक्स डाउनलोड कर सकते हैं। इस समस्या को ठीक करने के लिए पैच लागू करने की सिफारिश की जाती है। इस भेद्यता को ठीक करने के लिए निम्नलिखित कोड का उपयोग किया जाएगा:
flags &= ~(GNUTLS_VERIFY_ALLOW_X509_V1_CA_CRT);
कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 65792), X-Force (91544), Secunia (SA57254), Vulnerability Center (SBV-43745) , Tenable (72794).
उत्पाद
प्रकार
नाम
संस्करण
लाइसेंस
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 5.3VulDB मेटा अस्थायी स्कोर: 4.6
VulDB मूल स्कोर: 5.3
VulDB अस्थायी स्कोर: 4.6
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
वर्ग: अधिकार वृद्धिCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔍
स्थिति: असिद्ध
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
Nessus ID: 72794
Nessus नाम: RHEL 5 : gnutls (RHSA-2014:0247)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Port: 🔍
OpenVAS ID: 881895
OpenVAS नाम: CentOS Update for gnutls CESA-2014:0247 centos5
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍
Qualys ID: 🔍
Qualys नाम: 🔍
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: पैचस्थिति: 🔍
0-दिवसीय समय: 🔍
पैच: gitorious.org
समयरेखा
09/01/2008 🔍25/02/2014 🔍
26/02/2014 🔍
03/03/2014 🔍
04/03/2014 🔍
06/03/2014 🔍
06/03/2014 🔍
10/03/2014 🔍
24/03/2014 🔍
26/03/2014 🔍
07/05/2026 🔍
स्रोत
सलाह: Re: gnutls fails to use Verisign CA cert without a Basic Constraintशोधकर्ता: Daniel Kahn Gillmor
स्थिति: पुष्टि की गई
पुष्टि: 🔍
समन्वित: 🔍
CVE: CVE-2009-5138 (🔍)
GCVE (CVE): GCVE-0-2009-5138
GCVE (VulDB): GCVE-100-12504
OVAL: 🔍
X-Force: 91544 - GnuTLS V1 certificates security bypass, Medium Risk
SecurityFocus: 65792 - GnuTLS Certificate Validation Security Bypass Weakness
Secunia: 57254 - SUSE update for gnutls, Moderately Critical
Vulnerability Center: 43745 - GnuTLS <2.7.6 Remote Security Bypass Vulnerability in X.509 V1 Certificate Validation, Medium
यह भी देखें: 🔍
प्रविष्टि
बनाया गया: 10/03/2014 09:10 AMअद्यतनित: 07/05/2026 05:01 AM
परिवर्तन: 10/03/2014 09:10 AM (88), 24/05/2017 09:17 AM (5), 15/06/2021 09:46 AM (3), 07/05/2026 05:01 AM (15)
पूर्ण: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें