OpenLDAP do 2.4.42 libraries/liblber/io.c ber_get_next BER privilege escalation

CVSS Wynik metatemperaturyExploit Aktualna Cena (≈)Wynik odsetkowy CTI
5.3$0-$5k0.00

Odkryto lukę w OpenLDAP do 2.4.42 (Directory Service Software). Problemem dotknięta jest funkcja ber_get_next w bibliotece libraries/liblber/io.c. Dzięki manipulowaniu argumentem BER przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przekroczenie uprawnień. Ma to wpływ na dostępność.

Informacja o podatności została opublikowana w dniu 2015-09-11 przez osobę/y Denis Andzakovic (Website). Raport na temat podatności został udostępniony pod adresem openldap.org. Podatność ta jest zwana CVE-2015-6908. Możliwe jest zdalne zainicjowanie ataku. Nie potrzeba żadnej formy uwierzytelnienia w celu eksploitacji. Szczegóły techniczne są znane, ale brak dostępnego exploita.

Skaner podatności Nessus jest wyposażony w plugin ID 86355 (Amazon Linux AMI : openldap / compat-openldap (ALAS-2015-599)), który pomaga ustalić, czy dane środowisko jest podatne na atak.

Nie są znane żadne środki zaradcze. Sugerowana jest zamiana podatnego komponentu na produkt alternatywny.

Błąd jest również udokumentowany w bazie podatności Tenable (86355).

Produktinfo

Rodzaj

Imię

Wersja

Licencja

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍

CVSSv3info

VulDB Wynik metabazy: 5.3
VulDB Wynik metatemperatury: 5.3

VulDB Wynik podstawowy: 5.3
VulDB Wynik tymczasowy: 5.3
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
WektorMożliwość wykorzystaniaUwierzytelnianiePoufnośćIntegralnośćDostępność
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować

VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍

NVD Wynik podstawowy: 🔍

Exploitinfo

Klasa: Przekroczenie uprawnień
CWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍

Lokalny: Nie
Zdalny: Tak

Dostępność: 🔍
Status: Nie określono

EPSS Score: 🔍
EPSS Percentile: 🔍

Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍

0-Dayodblokowaćodblokowaćodblokowaćodblokować
Dzisiajodblokowaćodblokowaćodblokowaćodblokować

Nessus ID: 86355
Nessus Imię: Amazon Linux AMI : openldap / compat-openldap (ALAS-2015-599)
Nessus Plik: 🔍
Nessus Ryzyko: 🔍
Nessus Family: 🔍

OpenVAS ID: 703356
OpenVAS Imię: Debian Security Advisory DSA 3356-1 (openldap - security update)
OpenVAS Plik: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Imię: 🔍

Inteligencja Zagrożeńinfo

Wysiłek: 🔍
Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍

Przeciwdziałanieinfo

Zalecane: wiadomo nie ograniczanie
Status: 🔍

0-dniowy czas: 🔍

Poprawka: 6fe51a9ab04fd28bbc171da3cf12f1c1040d6629
TippingPoint: 🔍

McAfee IPS: 🔍
McAfee IPS Wersja: 🔍

Fortigate IPS: 🔍

Oś czasuinfo

2015-09-10 🔍
2015-09-11 +1 dni 🔍
2015-09-11 +0 dni 🔍
2015-09-11 +0 dni 🔍
2015-09-11 +0 dni 🔍
2015-09-13 +2 dni 🔍
2015-09-14 +1 dni 🔍
2022-06-14 +2465 dni 🔍

Źródłainfo

Raport: RHSA-2015:1840
Badacz: Denis Andzakovic
Status: Nie określono
Potwierdzenie: 🔍

CVE: CVE-2015-6908 (🔍)
OVAL: 🔍

SecurityTracker: 1033534
Vulnerability Center: 52570 - OpenLDAP 2.4.42 and Earlier Remote DoS via Crafted BER Data, High
SecurityFocus: 76714 - OpenLDAP CVE-2015-6908 Denial of Service Vulnerability

Zobacz także: 🔍

Wpisinfo

Stworzono: 2015-09-14 10:20
Aktualizacje: 2022-06-14 23:17
Zmiany: 2015-09-14 10:20 (61), 2017-12-19 08:17 (17), 2022-06-14 22:51 (6), 2022-06-14 23:05 (1), 2022-06-14 23:17 (2)
Kompletny: 🔍

Dyskusja

Brak komentarzy. Języki: pl + en.

Zaloguj się, aby skomentować.

PoprzedniPrzeglądKolejny

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!