| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
要約
脆弱性が X.org X11 5.0 内に見つかりました。この脆弱性は 問題がある として分類されました。 該当するのは 不明な関数 コンポーネントSUN-DES-1 Handlerのです。 未知の値で改ざんすることが、 サービス拒否を突く攻撃に繋がります}。 この脆弱性は CVE-2014-8091 として知られています。 この脆弱性の特殊な手法が、今後革新的な影響を及ぼすでしょう。 対象コンポーネントのアップグレードを推奨します。
詳細
脆弱性が X.org X11 5.0 内に見つかりました。この脆弱性は 問題がある として分類されました。 該当するのは 不明な関数 コンポーネントSUN-DES-1 Handlerのです。 未知の値で改ざんすることが、 サービス拒否を突く攻撃に繋がります}。 この問題をCWEでは、CWE-476 と定義しました。 このバグは 1991年08月29日で紹介されました。 この脆弱性は公開されました 2014年12月09日 によりIlja van Sprundel (IOActiveと共に) としてAdvisory-2014-12-09 として勧告 (ウェブサイト)。 アドバイザリはx.orgにて共有されています。
この脆弱性は CVE-2014-8091 として知られています。 CVEの割り当ては 2014年10月10日 に行われました。 入手できる技術的詳細情報はありません。 この脆弱性の人気度は平均より低いです。 現時点では、エクスプロイトの価格は約USD $0-$5kと考えられます。 この脆弱性の特殊な手法が、今後革新的な影響を及ぼすでしょう。 アドバイザリーは次を指摘しています。
In servers built with support for SUN-DES-1 (Secure RPC) authentication credentials, an unauthenticated client may be able to crash the X server by sending a connection request specifying values that cause malloc to fail, causing the authentication routines to attempt to write data to the returned NULL pointer. Since the request is limited to an unsigned 16-bit integer for the allocation size, it is unlikely to fail unless the server is severely memory constrained.
脆弱性は、少なくとも 8503 日の間、非公開の0day攻撃ツールとして扱われました。 0dayとして、推定される闇市場取引価格はおよそ $0-$5k でした。 脆弱性スキャナーNessusはID【80547 (SuSE 11.3 Security Update : xorg-x11-server (SAT Patch Number 10108))】のプラグインを提供しています。ターゲット環境における不具合の有無を判定するのに役立ちます。 これは【SuSE Local Security Checks 】に分類されています。 0 ポートを使用しています。 商用脆弱性スキャナーQualysではプラグイン【 350232 (Amazon Linux Security Advisory for xorg-x11-server: ALAS-2015-470) 】を使用してこの問題をテストできます。
対象コンポーネントのアップグレードを推奨します。 考えられる回避策が、すぐにとして脆弱性の公開後公表されました 。
この脆弱性は他の脆弱性データベースにも文書化されています: SecurityFocus (BID 64127), X-Force (99217), Secunia (SA62292), SecurityTracker (ID 1031326) , Vulnerability Center (SBV-51358).
製品
タイプ
ベンダー
名前
バージョン
ライセンス
ウェブサイト
- ベンダー: https://www.x.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 5.3VulDB 一時的なメタスコア: 4.6
VulDB ベーススコア: 5.3
VulDB 一時的なスコア: 4.6
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: サービス拒否CWE: CWE-476 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未実証
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 80547
Nessus 名前: SuSE 11.3 Security Update : xorg-x11-server (SAT Patch Number 10108)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Port: 🔍
OpenVAS ID: 703095
OpenVAS 名前: Debian Security Advisory DSA 3095-1 (xorg-server - security update)
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
Qualys ID: 🔍
Qualys 名前: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
タイムライン
1991年08月29日 🔍2013年12月06日 🔍
2014年10月10日 🔍
2014年12月09日 🔍
2014年12月09日 🔍
2014年12月10日 🔍
2014年12月10日 🔍
2014年12月11日 🔍
2015年01月15日 🔍
2015年07月14日 🔍
2015年07月16日 🔍
2025年08月29日 🔍
ソース
ベンダー: x.org勧告: Advisory-2014-12-09
調査者: Ilja van Sprundel
組織: IOActive
ステータス: 確認済み
確認: 🔍
CVE: CVE-2014-8091 (🔍)
GCVE (CVE): GCVE-0-2014-8091
GCVE (VulDB): GCVE-100-68379
OVAL: 🔍
X-Force: 99217 - X server NULL pointer denial of service, Medium Risk
SecurityFocus: 64127 - X.Org X Server CVE-2013-6424 Local Denial of Service Vulnerability
Secunia: 62292
SecurityTracker: 1031326 - X Multiple Memory Corruption Flaws Let Remote Users Deny Service and Execute Arbitrary Code
Vulnerability Center: 51358 - X.Org X Window System (X11) X11R5 and X.Org Server <1.16.3 Remote DoS via a Crafted Request - CVE-2014-8091, Medium
その他: 🔍
関連情報: 🔍
エントリ
作成済み: 2014年12月11日 09:23更新済み: 2025年08月29日 15:49
変更: 2014年12月11日 09:23 (87), 2017年07月13日 10:39 (5), 2022年02月28日 02:35 (3), 2022年02月28日 02:43 (1), 2025年08月29日 15:49 (15)
完了: 🔍
Cache ID: 216:D56:103
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。