Yubico pam-u2f 1.0.7 auth File Parser u2f_keys Symlink Log 情報の漏洩

エントリ編集履歴差分jsonxmlCTI
CVSS 一時的なメタスコア現在のエクスプロイト価格 (≈)CTI注目指数
6.4$0-$5k0.05
問題がある として分類されている脆弱性が Yubico pam-u2f 1.0.7 内に見つかりました。 影響を受けるのは、コンポーネント【auth File Parser】のファイル【HOME/.config/Yubico/u2f_keys】に含まれる未知の関数です。 未知の値でSymlinkの一部として攻撃することが、 情報の漏洩を突く攻撃 「Log」に繋がります。 この脆弱性に対応するCWEの定義は CWE-CWE-200 です。 CVEによる要約は以下の通りになっています。
Yubico pam-u2f 1.0.7 attempts parsing of the configured authfile (default $HOME/.config/Yubico/u2f_keys) as root (unless openasuser was enabled), and does not properly verify that the path lacks symlinks pointing to other files on the system owned by root. If the debug option is enabled in the PAM configuration, part of the file contents of a symlink target will be logged, possibly revealing sensitive information.
この脆弱性は 2019年06月04日に「Website」のにて 紹介されました。 アドバイザリーは developers.yubico.com にてダウンロード用に公開されています。 この脆弱性は CVE-2019-12209 として扱われます。 CVEの割り当ては 2019年05月20日 に行われました。 攻撃はリモートで開始される可能性があります。 技術的詳細情報が入手可能です。 入手できるエクスプロイトツールはありません。 エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 このエクスプロイトツールは 未定義 として宣言されています。 0dayにはおよそ $0-$5k の価値があったと予想しています。 】のプラグインを提供しています。 考えられる回避策が、前として脆弱性の公開後公表されました 。

製品情報編集

ベンダー

名前

CPE 2.3情報編集

CPE 2.2情報編集

CVSSv3情報編集

VulDB ベースメタスコア: 6.4
VulDB 一時的なメタスコア: 6.4

VulDB ベーススコア: 5.3
VulDB 一時的なスコア: 5.3
VulDB 方向性: 🔍
VulDB 信頼性: 🔍

NVD ベーススコア: 7.5
NVD 方向性: 🔍

CVSSv2情報編集

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
方向性複雑度認証守秘義務性誠実性可用性
解除解除解除解除解除解除
解除解除解除解除解除解除
解除解除解除解除解除解除

VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍

NVD ベーススコア: 🔍

悪用する情報編集

名前: Log
クラス: 情報の漏洩 / Log
CWE: CWE-200
ATT&CK: 未知

ローカル: いいえ
リモート: はい

可用性: 🔍
ステータス: 未定義

価格予測: 🔍
現在の価格評価: 🔍

0-Day解除解除解除解除
本日解除解除解除解除

脅威インテリジェンス情報編集

関心: 🔍
Active Actors: 🔍
Active APT Groups: 🔍

対策情報編集

推奨: 既知の緩和策なし
ステータス: 🔍

0day日時: 🔍

タイムライン情報編集

2019年05月20日 🔍
2019年06月04日 +15 日 🔍
2019年06月05日 +1 日 🔍
2019年12月02日 +180 日 🔍

ソース情報編集

アドバイザリー: developers.yubico.com
ステータス: 未定義

CVE: CVE-2019-12209 (🔍)
関連情報: : 🔍

エントリ情報編集

作成済み: 2019年06月05日 07:21
更新済み: 2019年12月02日 12:30
変更: (17) vulnerability_cwe vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai vulnerability_cvss3_nvd_av vulnerability_cvss3_nvd_ac vulnerability_cvss3_nvd_pr vulnerability_cvss3_nvd_ui vulnerability_cvss3_nvd_s vulnerability_cvss3_nvd_c vulnerability_cvss3_nvd_i vulnerability_cvss3_nvd_a source_cve_assigned source_cve_nvd_summary
完了: 🔍

コメント

コメントはまだありません。 コメントするにはログインしてください。

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!