| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 3.8 | $0-$5k | 0.00 |
要約
現在、FreeBSD 迄 10.0にて、問題があると分類される脆弱性が確認されています。 この脆弱性により影響を受けるのは、コンポーネント【nfsserver】の未知の機能です。 引数の操作が、 サービス拒否をもたらします。 この脆弱性はCVE-2014-1453として知られています。 影響を受けるコンポーネントのアップグレードを推奨します。
詳細
現在、FreeBSD 迄 10.0にて、問題があると分類される脆弱性が確認されています。 この脆弱性により影響を受けるのは、コンポーネント【nfsserver】の未知の機能です。 引数の操作が、 サービス拒否をもたらします。 CWEを用いて問題を定義すると、CWE-399 となります。 この脆弱性は 2014年04月08日に Rick Macklemより「ウェブサイト」の 勧告にて 「FreeBSD-SA-14:05」として 紹介されました。 アドバイザリーは security.FreeBSD.org にてダウンロード用に公開されています。
この脆弱性はCVE-2014-1453として知られています。 CVEの割当は2014年01月14日で行われました。 技術的な情報は提供されていません。 この脆弱性の人気度は平均より低いです。 現時点で、エクスプロイトツールの価格はおそらく米ドルで約$0-$5kです。 本アドバイザリによると、次の通りです:
The Network File System (NFS) allows a host to export some or all of its file systems so that other hosts can access them over the network and mount them as if they were on local disks. FreeBSD includes both server and client implementations of NFS. The kernel holds a lock over the source directory vnode while trying to convert the target directory file handle to a vnode, which needs to be returned with the lock held, too. This order may be in violation of normal lock order, which in conjunction with other threads that grab locks in the right order, constitutes a deadlock condition because no thread can proceed.
0-dayの際、アンダーグラウンド市場での想定価格は$0-$5k前後でした。 勧告は以下のように述べています:
To determine which implementation an NFS server is running, run the following command: "kldstat -v | grep -cw nfsd"脆弱性診断ツールNessusは、ID 74374のプラグインを用意しています。 Debian Local Security Checks ファミリーに割り当てられています。 利用されるポートは 0になります。
修正プログラムはsecurity.FreeBSD.orgでダウンロードできます。 影響を受けるコンポーネントのアップグレードを推奨します。 脆弱性の開示から すぐに 後に、可能な緩和策が公表されました。 アドバイザリには次の注記が含まれています:
Systems that do not provide NFS services are not vulnerable. Neither are systems that do but use the old NFS implementation, which is the default in FreeBSD 8.x.
脆弱性は「SecurityFocus (BID 66726), X-Force (92605), Secunia (SA57760), SecurityTracker (ID 1030041) , Vulnerability Center (SBV-43982)」等の脆弱性データベースにも文書化されています。
製品
タイプ
名前
バージョン
ライセンス
ウェブサイト
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 4.3VulDB 一時的なメタスコア: 3.8
VulDB ベーススコア: 4.3
VulDB 一時的なスコア: 3.8
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: サービス拒否CWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未実証
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 74374
Nessus 名前: Debian DSA-2952-1 : kfreebsd-9 - security update
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Port: 🔍
OpenVAS ID: 702952
OpenVAS 名前: Debian Security Advisory DSA 2952-1 (kfreebsd-9 - security update)
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
パッチ: security.FreeBSD.org
タイムライン
2014年01月14日 🔍2014年04月08日 🔍
2014年04月08日 🔍
2014年04月09日 🔍
2014年04月09日 🔍
2014年04月09日 🔍
2014年04月09日 🔍
2014年04月09日 🔍
2014年04月10日 🔍
2014年04月16日 🔍
2014年06月09日 🔍
2021年06月16日 🔍
ソース
製品: freebsd.org勧告: FreeBSD-SA-14:05
調査者: Rick Macklem
ステータス: 確認済み
CVE: CVE-2014-1453 (🔍)
GCVE (CVE): GCVE-0-2014-1453
GCVE (VulDB): GCVE-100-12858
OVAL: 🔍
X-Force: 92605 - FreeBSD lock order denial of service, Medium Risk
SecurityFocus: 66726 - FreeBSD CVE-2014-1453 Remote Denial of Service Vulnerability
Secunia: 57760 - FreeBSD NFS Server Vnode Deadlock Denial of Service Vulnerability, Not Critical
SecurityTracker: 1030041 - FreeBSD NFS Server Deadlock Bug Lets Remote Authenticated Users Deny Service
Vulnerability Center: 43982 - FreeBSD Remote Denial of Service Vulnerability, Medium
関連情報: 🔍
エントリ
作成済み: 2014年04月09日 17:56更新済み: 2021年06月16日 18:54
変更: 2014年04月09日 17:56 (84), 2017年05月24日 20:00 (6), 2021年06月16日 18:54 (3)
完了: 🔍
Cache ID: 216:37E:103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。