X.org libXfont तक 1.4.99 fserve.c fs_get_reply/fs_alloc_glyphs/fs_read_extent_info दूरस्थ कोड निष्पादन

| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 6.4 | $0-$5k | 0.00 |
सारांश
एक कमजोरि जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, X.org libXfont में पाई गई है। प्रभावित है फ़ंक्शन fs_get_reply/fs_alloc_glyphs/fs_read_extent_info fserve.c फ़ाइल में। यह संशोधन दूरस्थ कोड निष्पादन का कारण बन सकता है।
यह कमजोरी CVE-2014-0211 के नाम से सूचीबद्ध है। कोई एक्सप्लॉइट उपलब्ध नहीं है।
इस समस्या को ठीक करने के लिए पैच लगाने की सिफारिश की जाती है।
विवरण
एक कमजोरि जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, X.org libXfont में पाई गई है। प्रभावित है फ़ंक्शन fs_get_reply/fs_alloc_glyphs/fs_read_extent_info fserve.c फ़ाइल में। यह संशोधन दूरस्थ कोड निष्पादन का कारण बन सकता है। CWE का उपयोग करके समस्या को घोषित करने से CWE-189 प्राप्त होता है। कमजोरी प्रकाशित की गई थी 12/05/2014 द्वारा Huzaifa S. Sidhpurwala के रूप में Bug 1096601 के रूप में Bug Report (Bugzilla). सलाह bugzilla.redhat.com पर डाउनलोड हेतु साझा की गई है।
यह कमजोरी CVE-2014-0211 के नाम से सूचीबद्ध है। CVE असाइनमेंट 03/12/2013 को हुआ। तकनीकी विवरण उपलब्ध हैं. इस भेद्यता की लोकप्रियता सामान्य स्तर से नीचे है। कोई एक्सप्लॉइट उपलब्ध नहीं है। इस समय एक एक्सप्लॉइट की मौजूदा कीमत might be approx. USD $0-$5k है। एडवाइजरी के अनुसार:
When parsing replies received from the font server, these calls do not check that their calculations for how much memory is needed to handle the returned data have not overflowed, so can result in allocating too little memory and then writing the returned data past the end of the allocated buffer.
0-डे के रूप में अनुमानित अंडरग्राउंड कीमत लगभग $0-$5k थी. वल्नरेबिलिटी स्कैनर Nessus ID 73997 वाला एक प्लगइन प्रदान करता है (Debian DSA-2927-1 : libxfont - security update), जो लक्ष्य वातावरण में खामी की उपस्थिति का पता लगाने में मदद करता है। इसे Debian Local Security Checks परिवार में असाइन किया गया है। प्लगइन l टाइप के कॉन्टेक्स्ट में रन हो रहा है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 350808 प्लगइन से कर सकता है (Amazon Linux Security Advisory for libXfont: AL2012-2015-023).
आप cgit.freedesktop.org से बगफिक्स डाउनलोड कर सकते हैं। इस समस्या को ठीक करने के लिए पैच लगाने की सिफारिश की जाती है। कमजोरी के उजागर होने के 1 दिन बाद एक संभावित निवारण उपाय जारी किया गया है।
कमजोरी अन्य कमजोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 67382), X-Force (93146), Secunia (SA58474), SecurityTracker (ID 1030238) , Tenable (73997).
उत्पाद
विक्रेता
नाम
संस्करण
- 1.2.3
- 1.2.4
- 1.2.5
- 1.2.6
- 1.2.7
- 1.2.8
- 1.2.9
- 1.3.0
- 1.3.1
- 1.3.2
- 1.3.3
- 1.3.4
- 1.4.0
- 1.4.1
- 1.4.2
- 1.4.3
- 1.4.4
- 1.4.5
- 1.4.6
- 1.4.7
- 1.4.99
लाइसेंस
वेबसाइट
- विक्रेता: https://www.x.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 7.3VulDB मेटा अस्थायी स्कोर: 6.4
VulDB मूल स्कोर: 7.3
VulDB अस्थायी स्कोर: 6.4
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
वर्ग: दूरस्थ कोड निष्पादनCWE: CWE-189
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔍
स्थिति: असिद्ध
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
Nessus ID: 73997
Nessus नाम: Debian DSA-2927-1 : libxfont - security update
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Context: 🔍
OpenVAS ID: 702927
OpenVAS नाम: Debian Security Advisory DSA 2927-1 (libxfont - security update
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍
Qualys ID: 🔍
Qualys नाम: 🔍
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: पैचस्थिति: 🔍
प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍
पैच: cgit.freedesktop.org
समयरेखा
03/12/2013 🔍12/05/2014 🔍
12/05/2014 🔍
13/05/2014 🔍
14/05/2014 🔍
14/05/2014 🔍
15/05/2014 🔍
15/05/2014 🔍
16/05/2014 🔍
17/05/2018 🔍
स्रोत
विक्रेता: x.orgसलाह: Bug 1096601
शोधकर्ता: Huzaifa S. Sidhpurwala
स्थिति: पुष्टि की गई
पुष्टि: 🔍
CVE: CVE-2014-0211 (🔍)
GCVE (CVE): GCVE-0-2014-0211
GCVE (VulDB): GCVE-100-13219
OVAL: 🔍
X-Force: 93146 - X.Org libXfont multiple functions buffer overflow, High Risk
SecurityFocus: 67382
Secunia: 58474 - X.Org libXfont Multiple Vulnerabilities, Less Critical
SecurityTracker: 1030238
यह भी देखें: 🔍
प्रविष्टि
बनाया गया: 16/05/2014 04:22 PMअद्यतनित: 17/05/2018 08:55 AM
परिवर्तन: 16/05/2014 04:22 PM (81), 17/05/2018 08:55 AM (6)
पूर्ण: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें