| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 6.4 | $0-$5k | 0.00 |
Sumário
Detectou-se uma vulnerabilidade classificada como crítico em Linux Foundation Xen 4.4.0. O impacto ocorre em uma função desconhecida no componente Xen Tools. A manipulação como parte de DTB Kernel resulta em Excesso de tampão. Esta vulnerabilidade é referenciada como CVE-2014-3715. Não há exploit disponível. É recomendado aplicar um patch para resolver esta questão.
Detalhes
Detectou-se uma vulnerabilidade classificada como crítico em Linux Foundation Xen 4.4.0. O impacto ocorre em uma função desconhecida no componente Xen Tools. A manipulação como parte de DTB Kernel resulta em Excesso de tampão. Ao utilizar CWE para declarar o problema, isso direciona para CWE-119. Esta vulnerabilidade foi publicada 14/05/2014 por Thomas Leonard como XSA-95 como Aconselhamento (Site). O aviso pode ser baixado em xenbits.xenproject.org.
Esta vulnerabilidade é referenciada como CVE-2014-3715. A designação do CVE foi realizada em 14/05/2014. Não existem detalhes técnicos acessíveis. A popularidade dessa vulnerabilidade é inferior à média. Não há exploit disponível. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente. O aviso aponta:
Furthermore when checking a 32-bit guest kernel for an appended DTB, the Xen tools were prone to additional overruns also leading to an overrun on the input buffer when loading the kernel into guest RAM
Como 0-day, o preço estimado no mercado clandestino era em torno de $25k-$100k.
O nome do adesivo é xsa95.patch. O bugfix está disponível para download em xenbits.xenproject.org. É recomendado aplicar um patch para resolver esta questão.
A vulnerabilidade também está documentada em outros bancos de dados de vulnerabilidades: SecurityFocus (BID 67388), X-Force (93150), SecurityTracker (ID 1030252) e Vulnerability Center (SBV-44569).
Produto
Tipo
Fabricante
Nome
Versão
Licença
Site
- Fabricante: https://www.linuxfoundation.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 7.3VulDB Meta Pontuação Temporária: 6.4
VulDB Pontuação Base: 7.3
VulDB Pontuação Temporária: 6.4
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Excesso de tampãoCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Físico: Parcial
Local: Sim
Remoto: Sim
Disponibilidade: 🔍
Estado: Não provado
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: PatchEstado: 🔍
Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍
Patch: xsa95.patch
Linha do tempo
14/05/2014 🔍14/05/2014 🔍
14/05/2014 🔍
14/05/2014 🔍
14/05/2014 🔍
16/05/2014 🔍
17/05/2014 🔍
19/05/2014 🔍
20/05/2014 🔍
28/05/2017 🔍
Fontes
Fabricante: linuxfoundation.orgAconselhamento: XSA-95
Pessoa: Thomas Leonard
Estado: Confirmado
Confirmação: 🔍
CVE: CVE-2014-3715 (🔍)
GCVE (CVE): GCVE-0-2014-3715
GCVE (VulDB): GCVE-100-13236
X-Force: 93150 - Xen DTB denial of service, Medium Risk
SecurityFocus: 67388 - Xen Loading Guest Kernel Multiple Denial of Service Vulnerabilities
SecurityTracker: 1030252 - Xen ARM Guest Loading Bugs Let Local Users Deny Service
Vulnerability Center: 44569 - Xen 4.4.x Local File System Read and DoS Related to Searching for an Appended DTB, Low
Vários: 🔍
Veja também: 🔍
Entrada
Criado: 17/05/2014 11h36Atualizado: 28/05/2017 03h24
Ajustamentos: 17/05/2014 11h36 (72), 28/05/2017 03h24 (7)
Completo: 🔍
Cache ID: 216:560:103
Once again VulDB remains the best source for vulnerability data.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.