| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 5.5 | $0-$5k | 0.00 |
要約
X.org X11 1.0内に 重大 として分類された脆弱性が発見されました。 対象となるのは 関数ProcPutImage/GetHosts/RegionSizeof/REQUEST_FIXED_SIZEです。 操作結果として メモリ破損につながります。
この脆弱性は CVE-2014-8092 として扱われます。 特殊な手法を用いるこの脆弱性は、歴史的に衝撃的として記憶されるでしょう。
影響コンポーネントのアップグレードを推奨します。
詳細
X.org X11 1.0内に 重大 として分類された脆弱性が発見されました。 対象となるのは 関数ProcPutImage/GetHosts/RegionSizeof/REQUEST_FIXED_SIZEです。 操作結果として メモリ破損につながります。 この脆弱性に対応するCWEの定義は CWE-190 です。 1987年09月15日 にこの問題が導入されました。 この弱点は発表されました 2014年12月09日 Ilja van Sprundelによって (IOActiveとともに) Advisory-2014-12-09として 勧告として (ウェブサイト)。 アドバイザリはx.orgから入手可能です。
この脆弱性は CVE-2014-8092 として扱われます。 CVEの割り当ては2014年10月10日に行われました。 技術的な詳細が利用可能です。 この脆弱性の一般的な利用度は平均を下回っています。 今のところ、エクスプロイトの価格はおよそUSD $0-$5kと推定されます。 特殊な手法を用いるこの脆弱性は、歴史的に衝撃的として記憶されるでしょう。 勧告では次の点が指摘されています:
These calls do not check that their calculations for how much memory is needed to handle the client's request have not overflowed, so can result in out of bounds reads or writes. These calls all occur only after a client has successfully authenticated itself.
この脆弱性は少なくとも9947日間、非公開のゼロデイ攻撃として扱われていました。 0dayにはおよそ $0-$5k の価値があったと予想しています。 脆弱性スキャナーNessusはID【84396 (SUSE SLED12 / SLES12 Security Update : xorg-x11-server (SUSE-SU-2015:1127-1))】のプラグインを提供しています。不具合の有無をターゲット環境にて判定できます。 これは分類【SuSE Local Security Checks 】に割り振られています。 これは 0 ポートを利用しています。 商用脆弱性スキャナーQualysではプラグイン【 350232 (Amazon Linux Security Advisory for xorg-x11-server: ALAS-2015-470) 】を使用してこの問題をテストできます。
影響コンポーネントのアップグレードを推奨します。 脆弱性が公開されてから すぐに 後に、対策が発表されました。
この脆弱性は他の脆弱性データベースにも記載されています: SecurityFocus (BID 71595), X-Force (99218), Secunia (SA62292), SecurityTracker (ID 1031326) , Vulnerability Center (SBV-51359).
製品
タイプ
ベンダー
名前
バージョン
ライセンス
ウェブサイト
- ベンダー: https://www.x.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 6.3VulDB 一時的なメタスコア: 5.5
VulDB ベーススコア: 6.3
VulDB 一時的なスコア: 5.5
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: メモリ破損CWE: CWE-190 / CWE-189
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未実証
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 84396
Nessus 名前: SUSE SLED12 / SLES12 Security Update : xorg-x11-server (SUSE-SU-2015:1127-1)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Port: 🔍
OpenVAS ID: 703095
OpenVAS 名前: Debian Security Advisory DSA 3095-1 (xorg-server - security update)
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
Qualys ID: 🔍
Qualys 名前: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
タイムライン
1987年09月15日 🔍2014年10月10日 🔍
2014年12月09日 🔍
2014年12月09日 🔍
2014年12月09日 🔍
2014年12月10日 🔍
2014年12月10日 🔍
2014年12月11日 🔍
2015年06月25日 🔍
2015年07月14日 🔍
2015年07月16日 🔍
2025年08月29日 🔍
ソース
ベンダー: x.org勧告: Advisory-2014-12-09
調査者: Ilja van Sprundel
組織: IOActive
ステータス: 確認済み
確認: 🔍
CVE: CVE-2014-8092 (🔍)
GCVE (CVE): GCVE-0-2014-8092
GCVE (VulDB): GCVE-100-68380
OVAL: 🔍
X-Force: 99218 - X server multiple integer overflow, High Risk
SecurityFocus: 71595 - X.Org X Server Protocol Handling Multiple Integer Overflow Vulnerabilities
Secunia: 62292
SecurityTracker: 1031326 - X Multiple Memory Corruption Flaws Let Remote Users Deny Service and Execute Arbitrary Code
Vulnerability Center: 51359 - X.Org X Window System (X11) X11R1 and X.Org Server <1.16.3 Remote DoS and Code Execution, Medium
その他: 🔍
関連情報: 🔍
エントリ
作成済み: 2014年12月11日 10:33更新済み: 2025年08月29日 15:49
変更: 2014年12月11日 10:33 (89), 2017年07月13日 10:39 (5), 2022年02月28日 02:51 (3), 2022年02月28日 02:58 (1), 2025年08月29日 15:49 (15)
完了: 🔍
Cache ID: 216:9BB:103
Once again VulDB remains the best source for vulnerability data.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。