CUPS 1.7.0/1.7.1/1.7.2/1.7.3 get_file अधिकार वृद्धि

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
4.2$0-$5k0.00

सारांशजानकारी

एक कमजोरि जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, CUPS 1.7.0/1.7.1/1.7.2/1.7.3 में पाई गई है। प्रभावित होता है फ़ंक्शन get_file। यह हेरफेर अधिकार वृद्धि उत्पन्न करता है। इस भेद्यता को CVE-2014-3537 आईडी के तहत ट्रैक किया जाता है। अतिरिक्त रूप से, एक एक्सप्लॉइट मौजूद है. इस समस्या को ठीक करने के लिए पैच लगाने की सिफारिश की जाती है।

विवरणजानकारी

एक कमजोरि जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, CUPS 1.7.0/1.7.1/1.7.2/1.7.3 में पाई गई है। प्रभावित होता है फ़ंक्शन get_file। यह हेरफेर अधिकार वृद्धि उत्पन्न करता है। CWE का उपयोग करके समस्या को घोषित करने से CWE-59 प्राप्त होता है। कमजोरी प्रकाशित की गई थी 03/07/2014 द्वारा Tim Waug के साथ Red Hat Security Response Team के रूप में STR #4450 के रूप में Bug Report (वेबसाइट). यह सलाह cups.org पर डाउनलोड के लिए साझा की गई है।

इस भेद्यता को CVE-2014-3537 आईडी के तहत ट्रैक किया जाता है। 14/05/2014 को CVE असाइन किया गया था. टेक्निकल डिटेल्स उपलब्ध हैं. इस भेद्यता की लोकप्रियता औसत से कम है। अतिरिक्त रूप से, एक एक्सप्लॉइट मौजूद है. अब के लिए एक्सप्लॉइट की कीमत अनुमानतः USD $0-$5k हो सकती है।

इसे उच्च कार्यात्मक के रूप में घोषित किया गया है। 0-day के समय अनुमानित अंडरग्राउंड मूल्य लगभग $0-$5k था। एडवाइजरी इंगित करती है:

This is not exploitable out-of-the-box as we disable the web interface by default.
वल्नरेबिलिटी स्कैनर Nessus ID 77149 वाला एक प्लगइन प्रदान करता है (CUPS 1.7.x < 1.7.5 'get_file' Function Symlink Handling Info Disclosure), जो लक्ष्य वातावरण में खामी की उपस्थिति का पता लगाने में मदद करता है। इसे विविध परिवार में असाइन किया गया है। प्लगइन r टाइप के कॉन्टेक्स्ट में रन हो रहा है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 350813 प्लगइन से कर सकता है (Amazon Linux Security Advisory for cups: AL2012-2015-018).

इस समस्या का समाधान 1.7.4 संस्करण में अपग्रेड करने से किया जा सकता है। बगफिक्स डाउनलोड के लिए cups.org पर उपलब्ध है। इस समस्या को ठीक करने के लिए पैच लगाने की सिफारिश की जाती है।

कमजोरी अन्य कमजोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 68788), X-Force (94749), Secunia (SA59945), SecurityTracker (ID 1030611) , Tenable (77149).

उत्पादजानकारी

प्रकार

नाम

संस्करण

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 4.4
VulDB मेटा अस्थायी स्कोर: 4.2

VulDB मूल स्कोर: 4.4
VulDB अस्थायी स्कोर: 4.2
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: अधिकार वृद्धि
CWE: CWE-59
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: आंशिक रूप से
स्थानीय: हाँ
दूरस्थ: नहीं

उपलब्धता: 🔍
स्थिति: उच्च कार्यात्मक

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 77149
Nessus नाम: CUPS 1.7.x < 1.7.5 'get_file' Function Symlink Handling Info Disclosure
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Context: 🔍

OpenVAS ID: 864641
OpenVAS नाम: Fedora Update for cups FEDORA-2014-8752
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: पैच
स्थिति: 🔍

प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍

अपग्रेड: CUPS 1.7.4
पैच: cups.org

समयरेखाजानकारी

14/05/2014 🔍
03/07/2014 +50 दिन 🔍
03/07/2014 +0 दिन 🔍
18/07/2014 +15 दिन 🔍
19/07/2014 +1 दिन 🔍
19/07/2014 +0 दिन 🔍
19/07/2014 +0 दिन 🔍
23/07/2014 +4 दिन 🔍
12/08/2014 +20 दिन 🔍
02/05/2019 +1724 दिन 🔍

स्रोतजानकारी

सलाह: STR #4450
शोधकर्ता: Tim Waug
संगठन: Red Hat Security Response Team
स्थिति: पुष्टि की गई
पुष्टि: 🔍

CVE: CVE-2014-3537 (🔍)
GCVE (CVE): GCVE-0-2014-3537
GCVE (VulDB): GCVE-100-67187

OVAL: 🔍

X-Force: 94749 - CUPS interface privilege escalation, Low Risk
SecurityFocus: 68788 - CUPS Web Interface CVE-2014-3537 Local Privilege Escalation Vulnerability
Secunia: 59945 - CUPS Symlink Information Disclosure Weaknesses, Not Critical
SecurityTracker: 1030611

scip Labs: https://www.scip.ch/en/?labs.20161013
यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 19/07/2014 08:23 PM
अद्यतनित: 02/05/2019 04:31 PM
परिवर्तन: 19/07/2014 08:23 PM (87), 02/05/2019 04:31 PM (2)
पूर्ण: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Want to stay up to date on a daily basis?

Enable the mail alert feature now!