Digium Asterisk तक 13.0.0 Access Control List अधिकार वृद्धि

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
4.6$0-$5k0.00

सारांशजानकारी

एक सुरक्षा कमजोरी, जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Digium Asterisk तक 13.0.0 में पाई गई है। प्रभावित होता है कोई अज्ञात फ़ंक्शन घटक Access Control List का। यह संशोधन अधिकार वृद्धि का कारण बन सकता है। यह सुरक्षा कमजोरी CVE-2014-8412 के रूप में संदर्भित है। हमला दूरस्थ रूप से शुरू किया जा सकता है। कोई एक्सप्लॉइट नहीं मिला है. प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा।

विवरणजानकारी

एक सुरक्षा कमजोरी, जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Digium Asterisk तक 13.0.0 में पाई गई है। प्रभावित होता है कोई अज्ञात फ़ंक्शन घटक Access Control List का। यह संशोधन अधिकार वृद्धि का कारण बन सकता है। CWE के माध्यम से समस्या घोषित करने पर CWE-264 मिलता है। इस कमजोरी को प्रकाशित किया गया था 20/11/2014 द्वारा Andreas Steinmetz के रूप में AST-2014-012 के रूप में सलाह (वेबसाइट). सलाह downloads.asterisk.org पर डाउनलोड हेतु साझा की गई है।

यह सुरक्षा कमजोरी CVE-2014-8412 के रूप में संदर्भित है। 22/10/2014 को CVE असाइन किया गया था. हमला दूरस्थ रूप से शुरू किया जा सकता है। कोई टेक्निकल डिटेल्स उपलब्ध नहीं हैं. इस भेद्यता की लोकप्रियता सामान्य स्तर से नीचे है। कोई एक्सप्लॉइट नहीं मिला है. इस समय एक्सप्लॉइट का मौजूदा मूल्य करीब USD $0-$5k माना जा रहा है। MITRE ATT&CK परियोजना के अनुसार हमले की तकनीक T1068 है.

कम से कम 26 दिनों तक इस भेद्यता को सार्वजनिक न किए गए ज़ीरो-डे एक्सप्लॉइट के रूप में संभाला गया। 0-day के रूप में अनुमानित भूमिगत कीमत लगभग $0-$5k थी। Nessus वल्नरेबिलिटी स्कैनर 79403 आईडी के साथ एक प्लगइन उपलब्ध कराता है। यह FreeBSD Local Security Checks परिवार को सौंपा गया है। यह पोर्ट 0 पर निर्भर है.

इस समस्या का समाधान 1.8.32.1, 11.14.1, 12.7.1 , 13.0.1 संस्करण में अपग्रेड करने से किया जा सकता है। प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा। परामर्श में निम्नलिखित टिप्पणी शामिल है:

The ACL code has been amended to compare the incoming packet's source address family against the address families for all rules.

यह कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी उपलब्ध है: SecurityFocus (BID 71218), X-Force (98863), SecurityTracker (ID 1031245), Vulnerability Center (SBV-47478) , Tenable (79403).

उत्पादजानकारी

प्रकार

विक्रेता

नाम

संस्करण

लाइसेंस

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 5.3
VulDB मेटा अस्थायी स्कोर: 4.6

VulDB मूल स्कोर: 5.3
VulDB अस्थायी स्कोर: 4.6
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: अधिकार वृद्धि
CWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: असिद्ध

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 79403
Nessus नाम: FreeBSD : asterisk -- Multiple vulnerabilities (a92ed304-716c-11e4-b008-001999f8d30b)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Port: 🔍

OpenVAS ID: 18627
OpenVAS नाम: Gentoo Linux Local Check: https://security.gentoo.org/glsa/201412-51
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍

अपग्रेड: Asterisk 1.8.32.1/11.14.1/12.7.1/13.0.1

समयरेखाजानकारी

22/10/2014 🔍
25/10/2014 +3 दिन 🔍
20/11/2014 +26 दिन 🔍
20/11/2014 +0 दिन 🔍
20/11/2014 +0 दिन 🔍
20/11/2014 +0 दिन 🔍
21/11/2014 +1 दिन 🔍
24/11/2014 +3 दिन 🔍
24/11/2014 +0 दिन 🔍
24/11/2014 +0 दिन 🔍
09/12/2014 +15 दिन 🔍
27/02/2022 +2637 दिन 🔍

स्रोतजानकारी

विक्रेता: digium.com

सलाह: AST-2014-012
शोधकर्ता: Andreas Steinmetz
स्थिति: पुष्टि की गई
पुष्टि: 🔍

CVE: CVE-2014-8412 (🔍)
GCVE (CVE): GCVE-0-2014-8412
GCVE (VulDB): GCVE-100-68257
X-Force: 98863 - Asterisk IP address security bypass, Medium Risk
SecurityFocus: 71218 - Multiple Asterisk Products Access Control List Security Bypass Vulnerability
SecurityTracker: 1031245 - Asterisk IP Address Checking Flaw Lets Remote Users Bypass Access Controls in Certain Cases
Vulnerability Center: 47478 - Asterisk Open Source and Certified Asterisk Remote Security Bypass via a Packet, Medium

यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 24/11/2014 09:26 AM
अद्यतनित: 27/02/2022 07:19 AM
परिवर्तन: 24/11/2014 09:26 AM (76), 24/12/2017 09:37 AM (11), 27/02/2022 07:13 AM (2), 27/02/2022 07:19 AM (1)
पूर्ण: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Do you want to use VulDB in your project?

Use the official API to access entries easily!