PHP 5.3/5.4.0 DNS TXT Record dns_get_record बफ़र ओवरफ़्लो

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
6.4$0-$5k0.00

सारांशजानकारी

एक भेद्यता जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, PHP 5.3/5.4.0 में खोजी गई है। प्रभावित है फ़ंक्शन dns_get_record घटक DNS TXT Record Handler की। यह है, जो बफ़र ओवरफ़्लो की ओर ले जाती है। यह सुरक्षा कमजोरी CVE-2014-3597 के रूप में संदर्भित है। कोई शोषण मौजूद नहीं है. इस समस्या को ठीक करने के लिए पैच लागू करने की सिफारिश की जाती है।

विवरणजानकारी

एक भेद्यता जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, PHP 5.3/5.4.0 में खोजी गई है। प्रभावित है फ़ंक्शन dns_get_record घटक DNS TXT Record Handler की। यह है, जो बफ़र ओवरफ़्लो की ओर ले जाती है। समस्या को घोषित करने के लिए CWE का उपयोग करने से CWE-119 की ओर ले जाता है। यह कमजोरी प्रकाशित हुई थी 21/08/2014 द्वारा David Kutalek के साथ Red Hat के रूप में Bug 1132589 के रूप में Bug Report (Bugzilla). bugzilla.redhat.com पर एडवाइजरी डाउनलोड हेतु साझा की गई है।

यह सुरक्षा कमजोरी CVE-2014-3597 के रूप में संदर्भित है। CVE आवंटन 14/05/2014 को हुआ था. तकनीकी जानकारी उपलब्ध है. इस भेद्यता की लोकप्रियता सामान्य स्तर से नीचे है। कोई शोषण मौजूद नहीं है. इस समय एक्सप्लॉइट का मौजूदा मूल्य करीब USD $0-$5k माना जा रहा है।

0-day के रूप में अनुमानित भूमिगत कीमत लगभग $5k-$25k थी। Nessus द्वारा 77742 आईडी वाला एक प्लगइन दिया गया है। इसे SuSE Local Security Checks फैमिली के अंतर्गत रखा गया है। यह पोर्ट 0 पर निर्भर है. वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 169006 प्लगइन से कर सकता है (SUSE Enterprise Linux Security Update for php53 (SUSE-SU-2016:1638-1)).

बगफिक्स github.com से डाउनलोड किया जा सकता है। इस समस्या को ठीक करने के लिए पैच लागू करने की सिफारिश की जाती है।

कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 69322), X-Force (95405), Secunia (SA60609), Vulnerability Center (SBV-45906) , Tenable (77742).

उत्पादजानकारी

प्रकार

नाम

संस्करण

लाइसेंस

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 7.3
VulDB मेटा अस्थायी स्कोर: 6.4

VulDB मूल स्कोर: 7.3
VulDB अस्थायी स्कोर: 6.4
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: बफ़र ओवरफ़्लो
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: असिद्ध

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 77742
Nessus नाम: SuSE 11.3 Security Update : php53 (SAT Patch Number 9718)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Port: 🔍

OpenVAS ID: 703008
OpenVAS नाम: Debian Security Advisory DSA 3008-1 (php5 - security update)
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: पैच
स्थिति: 🔍

0-दिवसीय समय: 🔍

पैच: github.com

समयरेखाजानकारी

14/05/2014 🔍
19/08/2014 +97 दिन 🔍
21/08/2014 +2 दिन 🔍
21/08/2014 +0 दिन 🔍
21/08/2014 +0 दिन 🔍
22/08/2014 +1 दिन 🔍
22/08/2014 +0 दिन 🔍
24/08/2014 +2 दिन 🔍
10/09/2014 +17 दिन 🔍
18/09/2014 +8 दिन 🔍
11/02/2022 +2703 दिन 🔍

स्रोतजानकारी

उत्पाद: php.org

सलाह: Bug 1132589
शोधकर्ता: David Kutalek
संगठन: Red Hat
स्थिति: पुष्टि की गई
पुष्टि: 🔍

CVE: CVE-2014-3597 (🔍)
GCVE (CVE): GCVE-0-2014-3597
GCVE (VulDB): GCVE-100-67396

OVAL: 🔍
IAVM: 🔍

X-Force: 95405 - PHP DNS TXT buffer overflow, High Risk
SecurityFocus: 69322 - PHP DNS TXT Record Handling CVE-2014-3597 Heap Buffer Overflow Vulnerability
Secunia: 60609 - Ubuntu update for php5, Moderately Critical
Vulnerability Center: 45906 - PHP <5.4.32, <5.5.16 Multiple Remote Buffer Overflows via a Crafted DNS Record, Medium

यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 22/08/2014 10:17 AM
अद्यतनित: 11/02/2022 01:04 AM
परिवर्तन: 22/08/2014 10:17 AM (88), 05/06/2017 09:58 AM (3), 11/02/2022 12:53 AM (3), 11/02/2022 01:04 AM (1)
पूर्ण: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Do you want to use VulDB in your project?

Use the official API to access entries easily!