| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 5.4 | $0-$5k | 0.00 |
要約
このたび、Linux Kernel 3.12.14/3.13.6において、問題があるに分類される脆弱性が見つかりました。 この問題により影響を受けるのは、ファイル【drivers/net/wireless/ath/ath9k/xmit.c】に含まれる関数【ath_tx_aggr_sleep】です。 未知の値で改ざんすることが、 競合状態を突く攻撃に繋がります}。 この脆弱性はCVE-2014-2672という名称で流通しています。 この脆弱性を修正するためにパッチを適用してください。
詳細
このたび、Linux Kernel 3.12.14/3.13.6において、問題があるに分類される脆弱性が見つかりました。 この問題により影響を受けるのは、ファイル【drivers/net/wireless/ath/ath9k/xmit.c】に含まれる関数【ath_tx_aggr_sleep】です。 未知の値で改ざんすることが、 競合状態を突く攻撃に繋がります}。 問題をCWEで宣言すると、CWE-362 になります。 この弱点は 2014年02月13日に発表されました 、Max Sydorenkoによって 、Bug 70551として 、Bug Reportとして (Bugzilla)。 アドバイザリーは bugzilla.kernel.org から入手可能です。
この脆弱性はCVE-2014-2672という名称で流通しています。 CVEが2014年03月30日に割り当てられました。 テクニカルな情報があります。 この脆弱性の一般的な利用度は平均を下回っています。 現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。 脆弱性の原因は次のコードです。
ath_txq_lock(sc, txq);アドバイザリーは次を指摘しています。buffered = ath_tid_has_buffered(tid);
tid->sched = false; list_del(&tid->list);
if (ac->sched) { ac->sched = false; list_del(&ac->list); }
Crashes observed only when Atheros 9380 based miniPCIe card is used (with ath9k driver). They mostly associated with heavy wireless bandwidth use, especially when torrent client with lots of connections runs over wifi. Distro in use is ArchLinux i686.
0-dayの場合、推定されるアンダーグラウンドでの価格は約$0-$5kでした。 脆弱性スキャナーNessusは、IDが74184のプラグインを提供します。 この項目は Ubuntu Local Security Checks ファミリーに割り当てられています。 商用脆弱性スキャナーQualysではプラグイン【 123686 (Red Hat Update for kernel (RHSA-2014:1101)) 】を使用してこの問題をテストできます。
修正パッチはbugzilla.kernel.orgからダウンロード可能です。 この脆弱性を修正するためにパッチを適用してください。 脆弱性の公開後、3 日 経過してから対策が公開されました。
他の脆弱性データベースにも記載されている脆弱性です: SecurityFocus (BID 66492), X-Force (92114), Secunia (SA57468), Vulnerability Center (SBV-43876) , Tenable (74184).
製品
タイプ
ベンダー
名前
バージョン
ライセンス
ウェブサイト
- ベンダー: https://www.kernel.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 6.2VulDB 一時的なメタスコア: 5.4
VulDB ベーススコア: 6.2
VulDB 一時的なスコア: 5.4
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: 競合状態CWE: CWE-362
CAPEC: 🔍
ATT&CK: 🔍
物理的: 部分的
ローカル: はい
リモート: はい
可用性: 🔍
ステータス: 未実証
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 74184
Nessus 名前: Ubuntu 12.04 LTS : linux vulnerabilities (USN-2221-1)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Qualys ID: 🔍
Qualys 名前: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: パッチステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
パッチ: bugzilla.kernel.org
タイムライン
2014年02月13日 🔍2014年02月16日 🔍
2014年02月26日 🔍
2014年02月26日 🔍
2014年03月30日 🔍
2014年04月01日 🔍
2014年04月01日 🔍
2014年04月03日 🔍
2021年06月16日 🔍
ソース
ベンダー: kernel.org勧告: Bug 70551
調査者: Max Sydorenko
ステータス: 確認済み
確認: 🔍
CVE: CVE-2014-2672 (🔍)
GCVE (CVE): GCVE-0-2014-2672
GCVE (VulDB): GCVE-100-12727
OVAL: 🔍
X-Force: 92114 - Linux Kernel ath_tx_aggr_sleep() denial of service, Medium Risk
SecurityFocus: 66492 - Linux Kernel 'drivers/net/wireless/ath/ath9k/xmit.c' Denial of Service Vulnerability
Secunia: 57468 - Linux Kernel ath9k "ath_tx_aggr_sleep()" Race Condition Vulnerability, Less Critical
Vulnerability Center: 43876 - Linux Kernel <3.13.7 Remote Denial of Service Vulnerability in 'ath_tx_aggr_sleep()\x27, High
関連情報: 🔍
エントリ
作成済み: 2014年04月01日 10:41更新済み: 2021年06月16日 11:04
変更: 2014年04月01日 10:41 (80), 2017年05月24日 10:57 (5), 2021年06月16日 11:04 (3)
完了: 🔍
Cache ID: 216:CBD:103
Be aware that VulDB is the high quality source for vulnerability data.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。