Zend Framework तक 2.3.2 ldap_bind NULL Byte कमजोर प्रमाणीकरण

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
4.6$0-$5k0.00

सारांशजानकारी

एक सुरक्षा कमजोरी, जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Zend Framework में पाई गई है। प्रभावित किया गया है फ़ंक्शन ldap_bind। यह संशोधन NULL Byte का भाग होने पर कमजोर प्रमाणीकरण का कारण बन सकता है। इस संवेदनशीलता को CVE-2014-8088 के रूप में जाना जाता है। कोई शोषण उपलब्ध नहीं है. प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा।

विवरणजानकारी

एक सुरक्षा कमजोरी, जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Zend Framework में पाई गई है। प्रभावित किया गया है फ़ंक्शन ldap_bind। यह संशोधन NULL Byte का भाग होने पर कमजोर प्रमाणीकरण का कारण बन सकता है। CWE के माध्यम से समस्या घोषित करने पर CWE-287 मिलता है। इस कमजोरी को प्रकाशित किया गया था 10/10/2014 द्वारा Matthew Daley के रूप में ZF2014-05 के रूप में सलाह (वेबसाइट). सलाह framework.zend.com पर डाउनलोड हेतु साझा की गई है।

इस संवेदनशीलता को CVE-2014-8088 के रूप में जाना जाता है। 10/10/2014 पर CVE आवंटित किया गया था. टेक्निकल जानकारी उपलब्ध है. इस भेद्यता की लोकप्रियता सामान्य स्तर से नीचे है। कोई शोषण उपलब्ध नहीं है. वर्तमान में एक एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है।

0-डे के तौर पर इसकी अनुमानित अवैध बाजार कीमत करीब $5k-$25k थी. Nessus वल्नरेबिलिटी स्कैनर 78786 आईडी के साथ एक प्लगइन उपलब्ध कराता है। यह Fedora Local Security Checks परिवार को सौंपा गया है। यह पोर्ट 0 पर निर्भर है. वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 350242 प्लगइन से कर सकता है (Amazon Linux Security Advisory for php-ZendFramework: ALAS-2014-460).

यदि आप 1.12.9, 2.2.8 , 2.3.3 संस्करण में अपग्रेड करते हैं, तो यह समस्या हल हो सकती है। प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा। इस समस्या के समाधान के लिए निम्न कोड लाइनों को लागू किया जाएगा:

$password = str_replace("$countermeasure_sourcecode", '', $password);

यह कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी उपलब्ध है: SecurityFocus (BID 70378), X-Force (97038), Vulnerability Center (SBV-46786) , Tenable (78786).

उत्पादजानकारी

प्रकार

विक्रेता

नाम

संस्करण

लाइसेंस

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 5.3
VulDB मेटा अस्थायी स्कोर: 4.6

VulDB मूल स्कोर: 5.3
VulDB अस्थायी स्कोर: 4.6
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: कमजोर प्रमाणीकरण
CWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: असिद्ध

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 78786
Nessus नाम: Fedora 21 : php-ZendFramework-1.12.9-1.fc21 (2014-12341)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Port: 🔍

OpenVAS ID: 867262
OpenVAS नाम: Fedora Update for php-ZendFramework2 FEDORA-2014-13302
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

0-दिवसीय समय: 🔍

अपग्रेड: Framework 1.12.9/2.2.8/2.3.3

समयरेखाजानकारी

10/10/2014 🔍
10/10/2014 +0 दिन 🔍
10/10/2014 +0 दिन 🔍
10/10/2014 +0 दिन 🔍
16/10/2014 +6 दिन 🔍
22/10/2014 +6 दिन 🔍
27/10/2014 +5 दिन 🔍
03/11/2014 +7 दिन 🔍
23/02/2022 +2669 दिन 🔍

स्रोतजानकारी

सलाह: ZF2014-05
शोधकर्ता: Matthew Daley
स्थिति: पुष्टि की गई
पुष्टि: 🔍

CVE: CVE-2014-8088 (🔍)
GCVE (CVE): GCVE-0-2014-8088
GCVE (VulDB): GCVE-100-67993

OVAL: 🔍

X-Force: 97038 - Zend Framework ldap_bind() security bypass, Medium Risk
SecurityFocus: 70378 - Zend Framework CVE-2014-8088 Authentication Bypass Vulnerability
Vulnerability Center: 46786 - Zend Framework Remote Security Bypass via a Password Starting with a Null Byte, Medium

विविध: 🔍
यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 16/10/2014 11:06 AM
अद्यतनित: 23/02/2022 09:40 AM
परिवर्तन: 16/10/2014 11:06 AM (82), 10/06/2017 09:32 AM (2), 23/02/2022 09:40 AM (3)
पूर्ण: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!