Linux Kernel तक 4.9.10 Multithreading net/sctp/socket.c sctp_wait_for_sndbuf रेस कंडीशन

| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 4.5 | $0-$5k | 0.00 |
सारांश
एक भेद्यता जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Linux Kernel तक 4.9.10 में खोजी गई है। प्रभावित है फ़ंक्शन sctp_wait_for_sndbuf फ़ाइल net/sctp/socket.c की घटक Multithreading की। यह परिवर्तन रेस कंडीशन का कारण बनता है।
यह भेद्यता CVE-2017-5986 के रूप में जानी जाती है। हमले के लिए स्थानीय पहुँच की आवश्यकता होती है। कोई शोषण मौजूद नहीं है.
इस समस्या को ठीक करने के लिए पैच लागू करने की सिफारिश की जाती है।
विवरण
एक भेद्यता जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Linux Kernel तक 4.9.10 में खोजी गई है। प्रभावित है फ़ंक्शन sctp_wait_for_sndbuf फ़ाइल net/sctp/socket.c की घटक Multithreading की। यह परिवर्तन रेस कंडीशन का कारण बनता है। समस्या को घोषित करने के लिए CWE का उपयोग करने से CWE-362 की ओर ले जाता है। 14/02/2017 को इस बग की पहचान की गई थी। यह कमजोरी प्रकाशित हुई थी 18/02/2017 द्वारा Alex (oss-sec). openwall.com पर यह परामर्श डाउनलोड हेतु उपलब्ध कराया गया है।
यह भेद्यता CVE-2017-5986 के रूप में जानी जाती है। CVE आवंटन 14/02/2017 को हुआ था. हमले के लिए स्थानीय पहुँच की आवश्यकता होती है। तकनीकी जानकारी उपलब्ध है. यह भेद्यता सामान्य से कम लोकप्रिय है। कोई शोषण मौजूद नहीं है. अभी के लिए एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है।
इसे परिभाषित नहीं घोषित किया गया है। 0-डे के लिए अनुमानित भूमिगत कीमत लगभग $0-$5k थी. Nessus द्वारा 97182 आईडी वाला एक प्लगइन दिया गया है। इसे Fedora Local Security Checks फैमिली के अंतर्गत रखा गया है। प्लगइन l प्रकार के संदर्भ में चल रहा है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 276453 प्लगइन से कर सकता है (Fedora Security Update for kernel (FEDORA-2017-fb89ca752a)).
4.9.11 संस्करण में अपग्रेड करने से इस समस्या का समाधान हो सकता है। बगफिक्स git.kernel.org से डाउनलोड किया जा सकता है। इस समस्या को ठीक करने के लिए पैच लागू करने की सिफारिश की जाती है।
कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 96222) , Tenable (97182).
उत्पाद
प्रकार
विक्रेता
नाम
संस्करण
लाइसेंस
वेबसाइट
- विक्रेता: https://www.kernel.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 4.7VulDB मेटा अस्थायी स्कोर: 4.6
VulDB मूल स्कोर: 4.0
VulDB अस्थायी स्कोर: 3.8
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 5.5
NVD वेक्टर: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
वर्ग: रेस कंडीशनCWE: CWE-362
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: आंशिक रूप से
स्थानीय: हाँ
दूरस्थ: हाँ
उपलब्धता: 🔍
स्थिति: परिभाषित नहीं
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
Nessus ID: 97182
Nessus नाम: Fedora 25 : kernel (2017-fb89ca752a)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Context: 🔍
OpenVAS ID: 900211
OpenVAS नाम: SuSE Update for Linux Kernel openSUSE-SU-2017:0547-1 (Linux Kernel)
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍
Qualys ID: 🔍
Qualys नाम: 🔍
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: पैचस्थिति: 🔍
0-दिवसीय समय: 🔍
अपग्रेड: Kernel 4.9.11
पैच: git.kernel.org
समयरेखा
14/02/2017 🔍14/02/2017 🔍
14/02/2017 🔍
14/02/2017 🔍
15/02/2017 🔍
18/02/2017 🔍
18/02/2017 🔍
19/02/2017 🔍
16/08/2020 🔍
स्रोत
विक्रेता: kernel.orgसलाह: openwall.com
शोधकर्ता: Alex
स्थिति: परिभाषित नहीं
पुष्टि: 🔍
CVE: CVE-2017-5986 (🔍)
GCVE (CVE): GCVE-0-2017-5986
GCVE (VulDB): GCVE-100-97116
OVAL: 🔍
SecurityFocus: 96222 - Linux Kernel 'net/sctp/socket.c' Local Denial of Service Vulnerability
OSVDB: - CVE-2017-5986 - Linux - Denial of Service Issue
यह भी देखें: 🔍
प्रविष्टि
बनाया गया: 19/02/2017 09:30 AMअद्यतनित: 16/08/2020 04:04 PM
परिवर्तन: 19/02/2017 09:30 AM (80), 16/08/2020 04:04 PM (6)
पूर्ण: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें