GNU cpio 2.11 process_copy_in बफ़र ओवरफ़्लो

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
6.4$0-$5k0.00

सारांशजानकारी

एक कमजोरि जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, GNU cpio 2.11 में पाई गई है। प्रभावित होता है फ़ंक्शन process_copy_in। यह संशोधन बफ़र ओवरफ़्लो का कारण बन सकता है। यह भेद्यता CVE-2014-9112 के रूप में व्यापार की जाती है। कोई एक्सप्लॉइट नहीं मिला है.

विवरणजानकारी

एक कमजोरि जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, GNU cpio 2.11 में पाई गई है। प्रभावित होता है फ़ंक्शन process_copy_in। यह संशोधन बफ़र ओवरफ़्लो का कारण बन सकता है। CWE का उपयोग करके समस्या को घोषित करने से CWE-119 प्राप्त होता है। कमजोरी प्रकाशित की गई थी 04/12/2014 द्वारा Michal Zalewski के रूप में Bug 1167571 के रूप में Bug Report (Bugzilla). सलाह bugzilla.redhat.com पर डाउनलोड हेतु साझा की गई है।

यह भेद्यता CVE-2014-9112 के रूप में व्यापार की जाती है। 26/11/2014 को CVE असाइन किया गया था. टेक्निकल डिटेल्स उपलब्ध हैं. इस भेद्यता की लोकप्रियता सामान्य स्तर से नीचे है। कोई एक्सप्लॉइट नहीं मिला है. वर्तमान में किसी एक्सप्लॉइट की कीमत लगभग USD $0-$5k हो सकती है।

0-day के तौर पर अनुमानित भूमिगत दाम लगभग $0-$5k था। वल्नरेबिलिटी स्कैनर Nessus ID 80364 वाला एक प्लगइन प्रदान करता है (Fedora 20 : cpio-2.11-28.fc20 (2014-16250)), जो लक्ष्य वातावरण में खामी की उपस्थिति का पता लगाने में मदद करता है। इसे Fedora Local Security Checks परिवार में असाइन किया गया है। यह पोर्ट 0 पर निर्भर है. वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 195739 प्लगइन से कर सकता है (Ubuntu Security Notification for Cpio Vulnerabilities (USN-2456-1)).

कमजोरी अन्य कमजोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 71248), X-Force (99130), Secunia (SA60167), Vulnerability Center (SBV-47330) , Tenable (80364).

उत्पादजानकारी

विक्रेता

नाम

संस्करण

लाइसेंस

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 7.3
VulDB मेटा अस्थायी स्कोर: 6.4

VulDB मूल स्कोर: 7.3
VulDB अस्थायी स्कोर: 6.4
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: बफ़र ओवरफ़्लो
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: असिद्ध

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 80364
Nessus नाम: Fedora 20 : cpio-2.11-28.fc20 (2014-16250)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Port: 🔍

OpenVAS ID: 703111
OpenVAS नाम: Debian Security Advisory DSA 3111-1 (cpio - security update)
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: कोई शमन ज्ञात नहीं
स्थिति: 🔍

समयरेखाजानकारी

23/11/2014 🔍
23/11/2014 +0 दिन 🔍
26/11/2014 +3 दिन 🔍
27/11/2014 +1 दिन 🔍
01/12/2014 +4 दिन 🔍
02/12/2014 +1 दिन 🔍
04/12/2014 +2 दिन 🔍
05/12/2014 +1 दिन 🔍
06/01/2015 +32 दिन 🔍
27/02/2022 +2609 दिन 🔍

स्रोतजानकारी

विक्रेता: gnu.org

सलाह: Bug 1167571
शोधकर्ता: Michal Zalewski
स्थिति: परिभाषित नहीं
पुष्टि: 🔍

CVE: CVE-2014-9112 (🔍)
GCVE (CVE): GCVE-0-2014-9112
GCVE (VulDB): GCVE-100-68347

OVAL: 🔍

X-Force: 99130 - GNU cpio process_copy_in() buffer overflow, Medium Risk
SecurityFocus: 71248 - Linux Kernel cpio 'list_file()' Function Heap Based Buffer Overflow Vulnerability
Secunia: 60167 - GNU Cpio Archive Handling Vulnerabilities, Highly Critical
Vulnerability Center: 47330 - GNU cpio 2.11 Local DoS via a Large Block Value in a cpio Archive, Low

यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 05/12/2014 09:50 AM
अद्यतनित: 27/02/2022 03:30 PM
परिवर्तन: 05/12/2014 09:50 AM (76), 13/06/2017 08:35 AM (6), 27/02/2022 03:30 PM (3)
पूर्ण: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Interested in the pricing of exploits?

See the underground prices here!