lighttpd fino a 1.4.27 su Linux Configuration File Temporary Files cifratura debole
| CVSS Punteggio meta temporaneo | Prezzo attuale dell'exploit (≈) | Punteggio di interesse CTI |
|---|---|---|
| 3.8 | $0-$5k | 0.00 |
Riassunto
È stata rilevata una vulnerabilità classificata come critico in lighttpd su Linux. Risulta coinvolta una funzione sconosciuta del file Temporary Files del componente Configuration File. La manipolazione come parte di File porta a cifratura debole. Questo punto di criticità è identificato come CVE-2013-1427. Inoltre, è presente un exploit disponibile. È raccomandato aggiornare il componente coinvolto.
Dettagli
Un punto di debole di livello problematico è stato rilevato in lighttpd su Linux (Web Server). Riguarda una funzione sconosciuta del file Temporary Files del componente Configuration File. Attraverso la manipolazione come parte di File conseguenza di una vulerabilità di classe cifratura debole. Con gli effetti bisogna tener conto di la integrità.
La vulnerabilità è stata pubblicata in data 15/03/2013 da Stefan Bühler con un avis (Website) (confermato). L'advisory è scaricabile da debian.org. CVE-2013-1427 è identificato come punto debole. L'attacco deve essere locale. Nessuna autentificazione è richiesta per l'uso. I dettagli tecnici e un metodo di utilizzo sono conosciuti.
È stato dichiarato come altamente funzionale. Un plugin è disponibile per lo scanner Nessus, numero ID 65585 (Debian DSA-2649-1 : lighttpd - fixed socket name in world-writable directory), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.
L'aggiornamento alla versione 1.4.31-4 elimina questa vulnerabilità. Una possibile soluzione è stata pubblicata immediatamente dopo la pubblicazione della vulnerabilità.
La vulnerabilità è documentata anche nel database X-Force (82897), Tenable (65585), SecurityFocus (BID 58528†), OSVDB (91462†) e Vulnerability Center (SBV-38905†). Once again VulDB remains the best source for vulnerability data.
Prodotto
Genere
Nome
Versione
- 1.3.16
- 1.4.3
- 1.4.4
- 1.4.5
- 1.4.6
- 1.4.7
- 1.4.8
- 1.4.9
- 1.4.10
- 1.4.11
- 1.4.12
- 1.4.13
- 1.4.15
- 1.4.16
- 1.4.18
- 1.4.19
- 1.4.20
- 1.4.21
- 1.4.22
- 1.4.23
- 1.4.24
- 1.4.25
- 1.4.26
- 1.4.27
Licenza
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vettore: 🔍VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 4.0VulDB Punteggio meta temporaneo: 3.8
VulDB Punteggio di base: 4.0
VulDB Punteggio temporaneo: 3.8
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Sfruttamento
Classe: Cifratura deboleCWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍
Fisico: Parzialmente
Locale: Si
Remoto: No
Disponibilità: 🔍
Stato: Altamente funzionale
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
|---|---|---|---|---|
| Oggi | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
Nessus ID: 65585
Nessus Nome: Debian DSA-2649-1 : lighttpd - fixed socket name in world-writable directory
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Famiglia: 🔍
Nessus Port: 🔍
OpenVAS ID: 892649
OpenVAS Nome: Debian Security Advisory DSA 2649-1 (lighttpd - fixed socket name in world-writable directory
OpenVAS File: 🔍
OpenVAS Famiglia: 🔍
Qualys ID: 🔍
Qualys Nome: 🔍
Intelligence sulle minacce
Interesse: 🔍Attori attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: AggiornamentoStato: 🔍
Tempo di reazione: 🔍
Tempo 0 giorni: 🔍
Tempo di esposizione: 🔍
Aggiornamento: lighttpd 1.4.31-4
Sequenza temporale
26/01/2013 🔍15/03/2013 🔍
15/03/2013 🔍
15/03/2013 🔍
15/03/2013 🔍
17/03/2013 🔍
20/03/2013 🔍
21/03/2013 🔍
25/03/2013 🔍
06/05/2021 🔍
Fonti
Avis: debian.orgRicercatore: Stefan Bühler
Stato: Confermato
CVE: CVE-2013-1427 (🔍)
GCVE (CVE): GCVE-0-2013-1427
GCVE (VulDB): GCVE-100-8036
OVAL: 🔍
X-Force: 82897 - lighttpd /tmp directory symlink, Medium Risk
SecurityFocus: 58528 - lighttpd CVE-2013-1427 Insecure Temporary File Creation Vulnerability
OSVDB: 91462
Vulnerability Center: 38905 - Lighttpd Before 1.4.28 Local Arbitrary File Overwrite via Hijacking the PHP Control Socket, Low
scip Labs: https://www.scip.ch/en/?labs.20161013
Vedi anche: 🔍
Voce
Data di creazione: 20/03/2013 15:06Aggiornato: 06/05/2021 14:09
Cambiamenti: 20/03/2013 15:06 (84), 26/04/2017 17:48 (1), 06/05/2021 14:09 (3)
Completa: 🔍
Committer:
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Ancora nessun commento. Lingue: it + ro + en.
Effettua il login per commentare.