PHP 迄 4.4.6 Encryption Key mcrypt_create_iv seed 弱い暗号化

履歴差分リンクするjsonxmlCTI

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
3.6	$0-$5k	0.00

要約情報

現在、PHP 迄 4.4.6にて、重大と分類される脆弱性が確認されています。この問題により影響を受けるのは、コンポーネント【Encryption Key】の関数【mcrypt_create_iv】です。この引数seedの操作は、弱い暗号化を引き起こします。この脆弱性はCVE-2007-2727として知られています。影響を受けたコンポーネントのアップグレードを推奨します。

現在、PHP 迄 4.4.6にて、重大と分類される脆弱性が確認されています。この問題により影響を受けるのは、コンポーネント【Encryption Key】の関数【mcrypt_create_iv】です。この引数seedの操作は、弱い暗号化を引き起こします。問題をCWEで宣言すると、CWE-311 になります。バグが発見されたのは2007年05月10日です。この脆弱性は 2007年05月10日に「ウェブサイト」のにて紹介されました。アドバイザリはfortheloot.comで提供されています。

この脆弱性はCVE-2007-2727として知られています。 CVEの割当は2007年05月16日で行われました。技術的な情報が提供されています。この脆弱性の一般的な利用度は平均を下回っています。現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。 MITRE ATT&CKプロジェクトは攻撃技術をT1600としています。

このエクスプロイトツールは未定義として宣言されています。 0-dayの際、アンダーグラウンド市場での想定価格は$5k-$25k前後でした。脆弱性診断ツールNessusは、ID 27152のプラグインを用意しています。この項目は SuSE Local Security Checks ファミリーに割り当てられています。プラグインはlタイプのコンテキストで動作しています。 0 ポートに依存しています。

この問題は、4.4.7へのアップグレードによって解決可能です。影響を受けたコンポーネントのアップグレードを推奨します。脆弱性の開示から 3 月後に、可能な緩和策が公表されました。

脆弱性は「SecurityFocus (BID 23984), X-Force (34521), Secunia (SA26895), Vulnerability Center (SBV-15182) , Tenable (27152)」等の脆弱性データベースにも文書化されています。

製品情報

タイプ

Programming Language Software

名前

バージョン

ライセンス

オープンソース

ウェブサイト

製品: https://www.php.org/

CPE 2.3情報

CPE 2.2情報

CVSSv4情報

VulDB ベクトル: 🔍
VulDB 信頼性: 🔍

CVSSv3情報

VulDB ベースメタスコア: 3.7
VulDB 一時的なメタスコア: 3.6

VulDB ベーススコア: 3.7
VulDB 一時的なスコア: 3.6
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍

CVSSv2情報

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

ベクトル	複雑さ	認証	機密性	完全性	可用性
解除	解除	解除	解除	解除	解除
解除	解除	解除	解除	解除	解除
解除	解除	解除	解除	解除	解除

VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍

NVD ベーススコア: 🔍

悪用情報

クラス: 弱い暗号化
CWE: CWE-311 / CWE-310
CAPEC: 🔍
ATT&CK: 🔍

物理的: いいえ
ローカル: いいえ
リモート: はい

可用性: 🔍
ステータス: 未定義

EPSS Score: 🔍
EPSS Percentile: 🔍

価格予測: 🔍
現在の価格評価: 🔍

0-Day	解除	解除	解除	解除
本日	解除	解除	解除	解除

Nessus ID: 27152
Nessus 名前: openSUSE 10 Security Update : apache2-mod_php5 (apache2-mod_php5-3979)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Context: 🔍
Nessus Port: 🔍

OpenVAS ID: 830147
OpenVAS 名前: Zoho ManageEngine Support Center Plus Multiple Fields XSS Vulnerabilities
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍

脅威インテリジェンス情報

関心: 🔍
アクティブアクター: 🔍
アクティブなAPTグループ: 🔍

対策情報

推奨: アップグレード
ステータス: 🔍

リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍

アップグレード: PHP 4.4.7

タイムライン情報

2007年05月10日 🔍
2007年05月10日 +0 日 🔍
2007年05月15日 +5 日 🔍
2007年05月15日 +0 日 🔍
2007年05月16日 +1 日 🔍
2007年05月16日 +0 日 🔍
2007年05月20日 +4 日 🔍
2007年07月20日 +61 日 🔍
2007年07月30日 +9 日 🔍
2007年09月24日 +56 日 🔍
2007年10月17日 +23 日 🔍
2015年03月13日 +2704 日 🔍
2019年07月19日 +1589 日 🔍

ソース情報

製品: php.org

勧告: fortheloot.com
ステータス: 未定義
確認: 🔍

CVE: CVE-2007-2727 (🔍)
GCVE (CVE): GCVE-0-2007-2727
GCVE (VulDB): GCVE-100-36853
X-Force: 34521
SecurityFocus: 23984 - PHP MCrypt_Create_IV Insecure Encryption Weakness
Secunia: 26895
OSVDB: 36087 - PHP mcrypt_create_iv Function php_rand_r IV Generation Weakness
Vulnerability Center: 15182 - PHP Insecure Encryption Weakness, Medium

関連情報: 🔍

エントリ情報

作成済み: 2015年03月13日 14:56
更新済み: 2019年07月19日 15:26
変更: 2015年03月13日 14:56 (82), 2019年07月19日 15:26 (2)
完了: 🔍
Cache ID: 216::103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

討論

コメントはまだありません。言語: ja + en.

コメントするにはログインしてください。

◂ 前概要次 ▸

Might our Artificial Intelligence support you?

Check our Alexa App!