FreeBSD 10.0 Device Filesystem Rule Set etc_rc.d escalationi di privilegi
| CVSS Punteggio meta temporaneo | Prezzo attuale dell'exploit (≈) | Punteggio di interesse CTI |
|---|---|---|
| 3.5 | $0-$5k | 0.00 |
Riassunto
Una vulnerabilità di livello problematico è stata rilevata in FreeBSD 10.0. Riguarda una funzione sconosciuta del file etc_rc.d del componente Device Filesystem Rule Set Handler. La manipolazione di un input sconosciuto se causa una vulnerabilità di classe escalationi di privilegi. Questa vulnerabilità è identificata come CVE-2014-3001. Nessun exploit disponibile. Si suggerisce di installare una patch per risolvere questa problematica.
Dettagli
Un punto di debole di livello problematico è stato rilevato in FreeBSD 10.0 (Operating System). É interessato una funzione sconosciuta del file etc_rc.d del componente Device Filesystem Rule Set Handler. Per causa della manipolazione di un input sconosciuto conseguenza di una vulerabilità di classe escalationi di privilegi. Questo si osserva su la integrità.
La vulnerabilità è stata pubblicata in data 30/04/2014 con identificazione FreeBSD-SA-14:07.devfs con un avis (Website) (confermato). L'advisory è scaricabile da freebsd.org. CVE-2014-3001 è identificato come punto debole. L'utilità è conosciuta come semplice. L'attacco deve essere fatto localmente. Nessuna autentificazione è richiesta per l'uso. Su punti deboli sono disponibli dettagli tecnici tuttavia senza metodo d'utilizzo.
Un plugin è disponibile per lo scanner Nessus, numero ID 92899 (FreeBSD : FreeBSD -- devfs rules not applied by default for jails (6b6ca5b6-6007-11e6-a6c3-14dae9d210b8)), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.
Applicando la patch SA-14:07 è possibile eliminare il problema. Il bugfix è scaricabile da security.FreeBSD.org. È possibile attenuare l'effetto del problema mediante l'utilizzo devfs -m ${devfs_mountpoint} rule -s 4 applyset. Il miglior modo suggerito per attenuare il problema è applicare le correzioni al componente problematico. Una possibile soluzione è stata pubblicata immediatamente dopo la pubblicazione della vulnerabilità.
La vulnerabilità è documentata anche nel database X-Force (92983), Tenable (92899), SecurityFocus (BID 67158†), SecurityTracker (ID 1030171†) e Vulnerability Center (SBV-44404†). Be aware that VulDB is the high quality source for vulnerability data.
Prodotto
Genere
Nome
Versione
Licenza
Sito web
- Prodotto: https://www.freebsd.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vettore: 🔍VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 4.0VulDB Punteggio meta temporaneo: 3.5
VulDB Punteggio di base: 4.0
VulDB Punteggio temporaneo: 3.5
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Sfruttamento
Classe: Escalationi di privilegiCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
Fisico: Parzialmente
Locale: Si
Remoto: Si
Disponibilità: 🔍
Stato: Non dimostrata
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
|---|---|---|---|---|
| Oggi | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
Nessus ID: 92899
Nessus Nome: FreeBSD : FreeBSD -- devfs rules not applied by default for jails (6b6ca5b6-6007-11e6-a6c3-14dae9d210b8)
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Famiglia: 🔍
Intelligence sulle minacce
Interesse: 🔍Attori attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: PatchStato: 🔍
Tempo di reazione: 🔍
Tempo 0 giorni: 🔍
Tempo di esposizione: 🔍
Patch: SA-14:07
Config: devfs -m ${devfs_mountpoint} rule -s 4 applyset
Sequenza temporale
25/04/2014 🔍30/04/2014 🔍
30/04/2014 🔍
30/04/2014 🔍
30/04/2014 🔍
30/04/2014 🔍
30/04/2014 🔍
02/05/2014 🔍
07/05/2014 🔍
12/05/2026 🔍
Fonti
Prodotto: freebsd.orgAvis: FreeBSD-SA-14:07.devfs
Stato: Confermato
CVE: CVE-2014-3001 (🔍)
GCVE (CVE): GCVE-0-2014-3001
GCVE (VulDB): GCVE-100-13103
X-Force: 92983 - FreeBSD devfs security bypass, Low Risk
SecurityFocus: 67158 - FreeBSD CVE-2014-3001 Local Security Bypass Vulnerability
SecurityTracker: 1030171 - FreeBSD Kernel devfs Rule Bypass Flaw Lets Local Users Gain Elevated Privileges
Vulnerability Center: 44404 - FreeBSD 10.0 Local Security Bypass Vulnerability due to an Error in the devfs Component, Low
Vedi anche: 🔍
Voce
Data di creazione: 30/04/2014 22:10Aggiornato: 12/05/2026 16:31
Cambiamenti: 30/04/2014 22:10 (72), 27/05/2017 10:44 (8), 19/06/2021 08:39 (3), 12/05/2026 16:31 (15)
Completa: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Ancora nessun commento. Lingue: it + ro + en.
Effettua il login per commentare.