| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 4.8 | $0-$5k | 0.00 |
要約
現在、Drupal 7.33にて、問題があると分類される脆弱性が確認されています。 該当するのは 不明な関数 コンポーネントPassword Hashing APIのです。 この操作は、 特権昇格を引き起こします。 この脆弱性はCVE-2014-9016として知られています。 悪用手段は存在しません。 対象コンポーネントのアップグレードを推奨します。
詳細
現在、Drupal 7.33にて、問題があると分類される脆弱性が確認されています。 該当するのは 不明な関数 コンポーネントPassword Hashing APIのです。 この操作は、 特権昇格を引き起こします。 この問題をCWEでは、CWE-20 と定義しました。 この脆弱性は 2014年11月19日に Michael Cullum, Javier Nieto and Andrés Rojas Guerreroより「ウェブサイト」の Security Advisoryにて 「DRUPAL-SA-CORE-2014-006」として 紹介されました。 アドバイザリはdrupal.orgにて共有されています。
この脆弱性はCVE-2014-9016として知られています。 CVEの割当は2014年11月20日で行われました。 技術的な情報は提供されていません。 この脆弱性の人気度は平均より低いです。 悪用手段は存在しません。 このエクスプロイトは一般に公開されており、利用される恐れがあります。 現時点では、エクスプロイトの価格は約USD $0-$5kと考えられます。 アドバイザリは以下の内容を示しています:
Drupal 7 includes a password hashing API to ensure that user supplied passwords are not stored in plain text. A vulnerability in this API allows an attacker to send specially crafted requests resulting in CPU and memory exhaustion. This may lead to the site becoming unavailable or unresponsive (denial of service).
このエクスプロイトツールは 概念実証 として宣言されています。 エクスプロイトのダウンロード先はexploit-db.comです。 0-dayの際、アンダーグラウンド市場での想定価格は$0-$5k前後でした。 勧告は以下のように述べています:
If you have configured a custom session.inc file for your Drupal 6 or Drupal 7 site you also need to make sure that it is not prone to the same session hijacking vulnerability disclosed in this security advisory. If you have configured a custom password.inc file for your Drupal 7 site you also need to make sure that it is not prone to the same denial of service vulnerability disclosed in this security advisory.脆弱性診断ツールNessusは、ID 79679のプラグインを用意しています。 これは【Fedora Local Security Checks 】に分類されています。 0 ポートを使用しています。 商用脆弱性スキャナーQualysではプラグイン【 13074 (Drupal Core Password Hashing API Denial of Service Vulnerability (SA-CORE-2014-006)) 】を使用してこの問題をテストできます。
この問題は、6.x , 7.34へのアップグレードによって解決可能です。 対象コンポーネントのアップグレードを推奨します。 脆弱性の開示から すぐに 後に、可能な緩和策が公表されました。
脆弱性は「SecurityFocus (BID 71195), X-Force (98861), Secunia (SA59164), Vulnerability Center (SBV-47447) , Tenable (79679)」等の脆弱性データベースにも文書化されています。
製品
タイプ
名前
バージョン
ライセンス
ウェブサイト
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 5.3VulDB 一時的なメタスコア: 4.8
VulDB ベーススコア: 5.3
VulDB 一時的なスコア: 4.8
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: 特権昇格CWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
ダウンロード: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 79679
Nessus 名前: Fedora 20 : drupal7-7.34-1.fc20 (2014-15528)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Port: 🔍
OpenVAS ID: 703075
OpenVAS 名前: Debian Security Advisory DSA 3075-1 (drupal7 - security update)
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
Qualys ID: 🔍
Qualys 名前: 🔍
Exploit-DB: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
アップグレード: Drupal 6.x/7.34
タイムライン
2014年11月19日 🔍2014年11月19日 🔍
2014年11月19日 🔍
2014年11月19日 🔍
2014年11月20日 🔍
2014年11月21日 🔍
2014年11月21日 🔍
2014年11月24日 🔍
2014年12月03日 🔍
2014年12月08日 🔍
2025年01月05日 🔍
ソース
製品: drupal.org勧告: DRUPAL-SA-CORE-2014-006
調査者: Michael Cullum, Javier Nieto, Andrés Rojas Guerrero
ステータス: 確認済み
確認: 🔍
CVE: CVE-2014-9016 (🔍)
GCVE (CVE): GCVE-0-2014-9016
GCVE (VulDB): GCVE-100-68253
OVAL: 🔍
X-Force: 98861 - Drupal core password hashing API denial of service, Medium Risk
SecurityFocus: 71195 - Drupal Core CVE-2014-9015 Session Hijacking Vulnerability
Secunia: 59164 - Drupal Session Hijacking and Denial of Service Vulnerabilities, Moderately Critical
Vulnerability Center: 47447 - Drupal 7.x before 7.34 and Phpass Module 6.x-2.x before 6.x-2.1 for Drupal Remote DoS via a Crafted Request, Medium
scip Labs: https://www.scip.ch/en/?labs.20161013
その他: 🔍
関連情報: 🔍
エントリ
作成済み: 2014年11月21日 09:24更新済み: 2025年01月05日 04:22
変更: 2014年11月21日 09:24 (82), 2017年06月13日 09:17 (4), 2022年02月25日 07:15 (3), 2024年12月08日 19:40 (16), 2025年01月05日 04:22 (11)
完了: 🔍
Cache ID: 216:196:103
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。