FreeBSD 9.2/10.0 PAM Module कमजोर प्रमाणीकरण

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
7.1$0-$5k0.00

सारांशजानकारी

एक भेद्यता जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, FreeBSD 9.2/10.0 में खोजी गई है। प्रभावित है एक अज्ञात फ़ंक्शन घटक PAM Module की। हेरफेर के कारण कमजोर प्रमाणीकरण होती है। यह कमजोरी CVE-2014-3879 के नाम से सूचीबद्ध है। कोई शोषण मौजूद नहीं है. प्रभावित घटक को अपग्रेड करने की सिफारिश की जाती है।

विवरणजानकारी

एक भेद्यता जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, FreeBSD 9.2/10.0 में खोजी गई है। प्रभावित है एक अज्ञात फ़ंक्शन घटक PAM Module की। हेरफेर के कारण कमजोर प्रमाणीकरण होती है। समस्या को घोषित करने के लिए CWE का उपयोग करने से CWE-287 की ओर ले जाता है। यह कमजोरी प्रकाशित हुई थी 03/06/2014 द्वारा Peter Wemm, Dag-Erling SmA and rgrav के रूप में FreeBSD-SA-14:13.pam के रूप में सलाह (वेबसाइट). एडवाइजरी डाउनलोड के लिए security.FreeBSD.org पर साझा की गई है।

यह कमजोरी CVE-2014-3879 के नाम से सूचीबद्ध है। CVE आवंटन 27/05/2014 को हुआ था. कोई तकनीकी जानकारी उपलब्ध नहीं है. इस भेद्यता की लोकप्रियता औसत से कम है। कोई शोषण मौजूद नहीं है. इस समय एक एक्सप्लॉइट की मौजूदा कीमत might be approx. USD $0-$5k है। एडवाइजरी में उल्लेख किया गया है:

The OpenPAM library searches for policy definitions in several locations. While doing so, the absence of a policy file is a soft failure (handled by searching in the next location) while the presence of an invalid file is a hard failure (handled by returning an error to the caller). The policy parser returns the same error code (ENOENT) when a syntactically valid policy references a non-existent module as when the requested policy file does not exist. The search loop regards this as a soft failure and looks for the next similarly-named policy, without discarding the partially-loaded configuration. A similar issue can arise if a policy contains an include directive that refers to a non-existent policy.

0-डे के रूप में अनुमानित अंडरग्राउंड कीमत लगभग $5k-$25k थी. Nessus द्वारा 92903 आईडी वाला एक प्लगइन दिया गया है। इसे FreeBSD Local Security Checks फैमिली के अंतर्गत रखा गया है।

बगफिक्स security.FreeBSD.org से डाउनलोड किया जा सकता है। प्रभावित घटक को अपग्रेड करने की सिफारिश की जाती है। एडवाइजरी में यह उल्लेख किया गया है:

If your system uses customized PAM policies, carefully review your policies to ensure that all module names are spelled correctly. If your system uses third-party authentication modules, either refrain from upgrading those modules until you have patched your system, or shut down the affected services before upgrading.

कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 67808), X-Force (93610), SecurityTracker (ID 1030330), Vulnerability Center (SBV-44757) , Tenable (92903).

उत्पादजानकारी

प्रकार

नाम

संस्करण

लाइसेंस

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 8.1
VulDB मेटा अस्थायी स्कोर: 7.7

VulDB मूल स्कोर: 6.5
VulDB अस्थायी स्कोर: 5.7
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 9.8
NVD वेक्टर: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: कमजोर प्रमाणीकरण
CWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: असिद्ध

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 92903
Nessus नाम: FreeBSD : FreeBSD -- Incorrect error handling in PAM policy parser (6e8f9003-6007-11e6-a6c3-14dae9d210b8)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍

पैच: security.FreeBSD.org

समयरेखाजानकारी

27/05/2014 🔍
03/06/2014 +7 दिन 🔍
03/06/2014 +0 दिन 🔍
03/06/2014 +0 दिन 🔍
04/06/2014 +1 दिन 🔍
04/06/2014 +0 दिन 🔍
05/06/2014 +1 दिन 🔍
20/06/2021 +2572 दिन 🔍

स्रोतजानकारी

उत्पाद: freebsd.org

सलाह: FreeBSD-SA-14:13.pam
शोधकर्ता: Peter Wemm, Dag-Erling SmA, rgrav
स्थिति: पुष्टि की गई
पुष्टि: 🔍

CVE: CVE-2014-3879 (🔍)
GCVE (CVE): GCVE-0-2014-3879
GCVE (VulDB): GCVE-100-13436
X-Force: 93610 - FreeBSD OpenPAM library security bypass, Medium Risk
SecurityFocus: 67808 - FreeBSD OpenPAM Login Policy Parser Unauthorized Access Vulnerability
SecurityTracker: 1030330 - FreeBSD PAM Policy Parser Remote Authentication Bypass
Vulnerability Center: 44757 - FreeBSD 9.2 through 10 Remote Security Bypass in the OpenPAM Library, Medium

प्रविष्टिजानकारी

बनाया गया: 04/06/2014 12:32 PM
अद्यतनित: 20/06/2021 03:07 PM
परिवर्तन: 04/06/2014 12:32 PM (65), 29/05/2017 10:34 AM (4), 20/06/2021 03:01 PM (3), 20/06/2021 03:03 PM (18), 20/06/2021 03:07 PM (1)
पूर्ण: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!