haxx.se cURL até 7.34.0 HTTP NTLM Connection Autenticação fraca

CVSS Meta Pontuação TemporáriaPreço atual do exploit (≈)Nota de Interesse CTI
5.9$0-$5k0.00

Sumárioinformação

Uma vulnerabilidade classificada como problemático foi encontrada em haxx.se cURL até 7.34.0. O impacto ocorre em uma função desconhecida no componente HTTP NTLM Connection Handler. A manipulação resulta em Autenticação fraca. Esta vulnerabilidade é referenciada como CVE-2014-0015. Adicionalmente, há um exploit disponível. É recomendado que o componente afetado seja atualizado.

Detalhesinformação

Uma vulnerabilidade classificada como problemático foi encontrada em haxx.se cURL até 7.34.0. O impacto ocorre em uma função desconhecida no componente HTTP NTLM Connection Handler. A manipulação resulta em Autenticação fraca. A definição de CWE para a vulnerabilidade é CWE-287. Esta vulnerabilidade foi publicada 07/01/2014 por Paras Sethia como adv_20140129 como Aconselhamento (Site). O aviso pode ser baixado em curl.haxx.se.

Esta vulnerabilidade é referenciada como CVE-2014-0015. A designação do CVE foi realizada em 03/12/2013. Não existem detalhes técnicos acessíveis. A popularidade dessa vulnerabilidade é inferior à média. Adicionalmente, há um exploit disponível. O exploit foi tornado público e pode ser usado. Neste momento, o preço atual de um exploit pode ser cerca de USD $0-$5k agora. O aviso aponta:

Due to a logical error in the code, a request that was issued by an application could wrongfully re-use an existing connection to the same server that was authenticated using different credentials. One underlying reason being that NTLM authenticates connections and not requests, contrary to how HTTP is designed to work and how other authentication methods work.

Encontra-se declarado como prova de conceito. Esperamos que o dia 0 tenha valido aproximadamente $0-$5k. O Nessus, ferramenta de varredura de vulnerabilidades, disponibiliza um plugin com o identificador 74203. Está atribuído à família Oracle Linux Local Security Checks. O plugin está rodando no contexto do tipo l. Está dependendo da porta 0. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 43619 (Juniper Junos OS Multiple vulnerabilities in cURL versions (JSA10874)).

Fazer upgrade para a versão 7.35.0 pode mitigar este problema. O bugfix está disponível para download em github.com. O problema pode ser mitigado ao aplicar a configuração CURLOPT_FRESH_CONNECT/CURLOPT_MAXCONNECTS/CURLMOPT_MAX_HOST_CONNECTIONS. É recomendado que o componente afetado seja atualizado. Uma possível atenuação foi publicada 4 semanas após a revelação da vulnerabilidade. O boletim apresenta a seguinte observação:

This fix is already committed to the public source code repository because the full security impact wasn't properly realized until after the fact. (…) Avoid using HTTP NTLM in your application, or make sure to only specify NTLM as the requested authentication method.

A vulnerabilidade também está documentada em outros bancos de dados de vulnerabilidades: SecurityFocus (BID 65270), X-Force (90841), Secunia (SA56728), Vulnerability Center (SBV-58215) e Tenable (74203).

Produtoinformação

Tipo

Fabricante

Nome

Versão

Licença

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 6.5
VulDB Meta Pontuação Temporária: 5.9

VulDB Pontuação Base: 6.5
VulDB Pontuação Temporária: 5.9
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv2informação

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplexidadeAutenticaçãoConfidencialidadeIntegridadeDisponibilidade
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Autenticação fraca
CWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Acesso: Público
Estado: Prova de conceito

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HojeDesbloquearDesbloquearDesbloquearDesbloquear

Nessus ID: 74203
Nessus Nome: Oracle Linux 6 : curl (ELSA-2014-0561)
Nessus Ficheiro: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍
Nessus Context: 🔍
Nessus Port: 🔍

OpenVAS ID: 702849
OpenVAS Nome: Debian Security Advisory DSA 2849-1 (curl - information disclosure
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍

Qualys ID: 🔍
Qualys Nome: 🔍

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Atualização
Estado: 🔍

Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍
Tempo de atraso de exploração: 🔍

Atualização: cURL 7.35.0
Patch: github.com
Config: CURLOPT_FRESH_CONNECT/CURLOPT_MAXCONNECTS/CURLMOPT_MAX_HOST_CONNECTIONS

Linha do tempoinformação

03/12/2013 🔍
07/01/2014 +35 dias 🔍
07/01/2014 +0 dias 🔍
07/01/2014 +0 dias 🔍
29/01/2014 +22 dias 🔍
29/01/2014 +0 dias 🔍
31/01/2014 +2 dias 🔍
01/02/2014 +1 dias 🔍
28/05/2014 +116 dias 🔍
13/04/2016 +686 dias 🔍
14/04/2016 +1 dias 🔍
08/06/2021 +1881 dias 🔍

Fontesinformação

Aconselhamento: adv_20140129
Pessoa: Paras Sethia
Estado: Confirmado
Confirmação: 🔍

CVE: CVE-2014-0015 (🔍)
GCVE (CVE): GCVE-0-2014-0015
GCVE (VulDB): GCVE-100-12136

OVAL: 🔍

X-Force: 90841
SecurityFocus: 65270 - cURL/libcURL NTLM connection Remote Security Bypass Vulnerability
Secunia: 56728
OSVDB: 102715
SecurityTracker: 1029710
Vulnerability Center: 58215 - cURL Libcurl Remote Security Bypass Vulnerability Allowing Attackers to Authenticate as Other Users, Medium

scip Labs: https://www.scip.ch/en/?labs.20161013
Veja também: 🔍

Entradainformação

Criado: 31/01/2014 16h17
Atualizado: 08/06/2021 22h53
Ajustamentos: 31/01/2014 16h17 (90), 04/02/2019 16h18 (5), 08/06/2021 22h53 (3)
Completo: 🔍
Cache ID: 216:A25:103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Discussão

Ainda sem comentários. Idiomas: pt + es + en.

Por favor, inicie sessão para comentar.

VoltarVisão GeralPróximo

Want to know what is going to be exploited?

We predict KEV entries!