Digia Qt do 4.7.3 harfbuzz-gpos.c Lookup_MarkMarkPos memory corruption

CVSS Wynik metatemperaturyExploit Aktualna Cena (≈)Wynik odsetkowy CTI
9.5$0-$5k0.00

W Digia Qt została stwierdzona podatność. Problemem dotknięta jest funkcja Lookup_MarkMarkPos w pliku harfbuzz-gpos.c. Poprzez manipulację przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przepełnienie bufora. Wpływa to na poufność, spójność i dostępność.

Informacja o podatności została opublikowana w dniu 2012-06-15 przez osobę/y Josh Bressers w formie potwierdzone git commit (GIT Repository). Raport na temat podatności został udostępniony pod adresem cgit.freedesktop.org. Identyfikatorem tej podatności jest CVE-2011-3193. Atak może zostać przeprowadzony zdalnie. Nie potrzeba żadnej formy uwierzytelnienia w celu eksploitacji. Szczegóły techniczne są znane, ale brak dostępnego exploita.

Skaner podatności Nessus jest wyposażony w plugin ID 75609 (openSUSE Security Update : libQtWebKit-devel (openSUSE-SU-2011:1119-1)), który pomaga ustalić, czy dane środowisko jest podatne na atak.

Aktualizacja do wersji 4.5.2 eliminuje tę podatność. Zastosowanie poprawka eliminuje problem. Poprawka jet dostępna pod adresem cgit.freedesktop.org. Sugeruje się, że najlepszym zabezpieczeniem jest Poprawka.

Błąd jest również udokumentowany w bazie podatności X-Force (69991) i Tenable (75609).

Produktinfo

Sprzedawca

Imię

Wersja

Licencja

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍

CVSSv3info

VulDB Wynik metabazy: 10.0
VulDB Wynik metatemperatury: 9.5

VulDB Wynik podstawowy: 10.0
VulDB Wynik tymczasowy: 9.5
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
WektorMożliwość wykorzystaniaUwierzytelnianiePoufnośćIntegralnośćDostępność
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować

VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍

NVD Wynik podstawowy: 🔍

Exploitinfo

Klasa: Przepełnienie bufora
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Lokalny: Nie
Zdalny: Tak

Dostępność: 🔍
Status: Nie określono

EPSS Score: 🔍
EPSS Percentile: 🔍

Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍

0-Dayodblokowaćodblokowaćodblokowaćodblokować
Dzisiajodblokowaćodblokowaćodblokowaćodblokować

Nessus ID: 75609
Nessus Imię: openSUSE Security Update : libQtWebKit-devel (openSUSE-SU-2011:1119-1)
Nessus Plik: 🔍
Nessus Ryzyko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍

OpenVAS ID: 881004
OpenVAS Imię: CentOS Update for qt4 CESA-2011:1324 centos5 i386
OpenVAS Plik: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Imię: 🔍

Inteligencja Zagrożeńinfo

Wysiłek: 🔍
Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍

Przeciwdziałanieinfo

Zalecane: Poprawka
Status: 🔍

0-dniowy czas: 🔍

Upgrade: Qt 4.5.2
Poprawka: cgit.freedesktop.org

Oś czasuinfo

2010-09-21 🔍
2011-08-19 +332 dni 🔍
2011-09-21 +33 dni 🔍
2011-09-22 +1 dni 🔍
2011-09-27 +5 dni 🔍
2012-06-15 +262 dni 🔍
2012-06-15 +0 dni 🔍
2014-06-13 +728 dni 🔍
2015-03-23 +283 dni 🔍
2021-12-03 +2447 dni 🔍

Źródłainfo

Raport: USN-1504-1
Badacz: Josh Bressers
Status: Potwierdzone
Potwierdzenie: 🔍

CVE: CVE-2011-3193 (🔍)
OVAL: 🔍

X-Force: 69991
Vulnerability Center: 33326 - Pango 1.2.3, 1.2.4, 1.2.5 and 1.28.3 HarfBuzz Remote Code Execution Vulnerability, Medium
SecurityFocus: 49723 - Pango HarfBuzz Engine Buffer Overflow Vulnerability
Secunia: 41537 - Qt Insecure Library Loading and Buffer Overflow Vulnerabilities, Highly Critical
OSVDB: 75652

Wpisinfo

Stworzono: 2015-03-23 16:50
Aktualizacje: 2021-12-03 23:05
Zmiany: 2015-03-23 16:50 (68), 2017-04-02 13:52 (14), 2021-12-03 22:46 (2), 2021-12-03 22:55 (1), 2021-12-03 23:05 (1)
Kompletny: 🔍

Dyskusja

Brak komentarzy. Języki: pl + en.

Zaloguj się, aby skomentować.

PoprzedniPrzeglądKolejny

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!