VDB-106920 · CVE-2015-8559 · ID 3871

Progress Chef Infra Client перед 15.0.293 Knife Bootstrap Command /var/log/messages Private Key раскрытие информации

CVSS Meta Temp Score	Текущая цена эксплойта (≈)	Балл интереса CTI
6.4	$0-$5k	0.00

СводкаИнформация

Уязвимость, классифицированная как проблематичный, была найдена в Progress Chef Infra Client. Затронута неизвестная функция файла /var/log/messages компонента Knife Bootstrap Command Handler. Выполнение манипуляции приводит к раскрытие информации (Private Key). Эта уязвимость известна как CVE-2015-8559. Атаку можно осуществить удаленно. Эксплойт недоступен. Рекомендуется выполнить обновление уязвимого компонента.

ПодробностиИнформация

Уязвимость, классифицированная как проблематичный, была найдена в Progress Chef Infra Client. Затронута неизвестная функция файла /var/log/messages компонента Knife Bootstrap Command Handler. Выполнение манипуляции приводит к раскрытие информации (Private Key). Указание проблемы через CWE ведет к CWE-200. Уязвимость была обнаружена 14.12.2015. Данная уязвимость была опубликована 21.09.2017 (oss-sec). Консультация представлена на сайте openwall.com.

Эта уязвимость известна как CVE-2015-8559. Присвоение CVE было выполнено 14.12.2015. Атаку можно осуществить удаленно. Технические детали доступны. Данная уязвимость менее популярна, чем в среднем. Эксплойт недоступен. В настоящее время текущая цена эксплойта может составлять примерно USD $0-$5k. Проект MITRE ATT&CK использует технику атаки T1592 для этой проблемы.

Объявляется Не определено. Данная уязвимость была эксплуатируема как непубличный 0-day эксплойт по меньшей мере 744 дней. В качестве 0-day ориентировочная цена на подпольном рынке составляла около $0-$5k.

Обновление до 15.0.293 может устранить эту уязвимость. Новая версия готова к скачиванию на docs.chef.io. Рекомендуется выполнить обновление уязвимого компонента. Мера по смягчению последствий была опубликована 2 годы спустя после раскрытия уязвимости.

ПродуктИнформация

Тип

Automation Software

Поставщик

Progress

Имя

Chef Infra Client

Лицензия

коммерческий

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 6.4
VulDB Meta Temp Score: 6.4

VulDB Базовый балл: 5.3
VulDB Временная оценка: 5.3
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 7.5
NVD Вектор: 🔍

CVSSv2Информация

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Вектор	Сложность	Аутентификация	Конфиденциальность	Целостность	Доступность
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Имя: Private Key
Класс: раскрытие информации / Private Key
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Статус: Не определено

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-Day	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Сегодня	Разблокировать	Разблокировать	Разблокировать	Разблокировать

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍

Обновление: Chef Infra Client 15.0.293
Патч: github.com
Обходное решение: Removing sh -c wrapper around the bootstrapper command string

ХронологияИнформация

08.09.2015 🔍
14.12.2015 +97 дни 🔍
14.12.2015 +0 дни 🔍
21.09.2017 +647 дни 🔍
21.09.2017 +0 дни 🔍
21.09.2017 +0 дни 🔍
14.05.2019 +599 дни 🔍
29.12.2024 +2056 дни 🔍