Valve SteamOS 1.0 Authentication Username/Password слабая аутентификация
| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 5.0 | $0-$5k | 0.00 |
Сводка
В критический обнаружена уязвимость, классифицированная как Valve SteamOS 1.0. Неизвестная функция компонента Аутентификация используется. Осуществление манипуляции над аргументом Username/Password с использованием значения steam приводит к слабая аутентификация.
Более того, существует эксплойт.
Рекомендуется изменить настройки конфигурации.
Подробности
В критический обнаружена уязвимость, классифицированная как Valve SteamOS 1.0. Неизвестная функция компонента Аутентификация используется. Осуществление манипуляции над аргументом Username/Password с использованием значения steam приводит к слабая аутентификация. Декларирование проблемы с помощью CWE приводит к CWE-798. Информация о слабости была опубликована 16.12.2013 автором Tim Brown совместно с Portcullis Computer Security Ltd. под номером Evaluating SteamOS’s security posture (a first look) как Posting (Blog). Консультация доступна для загрузки на labs.portcullis.co.uk.
Имеются технические подробности. Уровень популярности этой уязвимости ниже среднего значения. Более того, существует эксплойт. Эксплойт был раскрыт общественности и может быть использован. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Согласно MITRE ATT&CK, техника атаки, используемая в данной проблеме, имеет значение T1110.001.
Задано как Доказательство концепции. Эксплойт доступен по адресу labs.portcullis.co.uk. В случае 0-day эксплойта, предполагаемая цена на подпольном рынке была около $0-$5k. .
Можно смягчить проблему, применив настройку конфигурации Change Password. Рекомендуется изменить настройки конфигурации.
Продукт
Поставщик
Имя
Версия
Лицензия
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 5.4VulDB Meta Temp Score: 5.0
VulDB Базовый балл: 5.4
VulDB Временная оценка: 5.0
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
Эксплуатация
Класс: слабая аутентификацияCWE: CWE-798 / CWE-259 / CWE-255
CAPEC: 🔍
ATT&CK: 🔍
Физический: Нет
Локальный: Нет
Удалённый: Да
Доступность: 🔍
Доступ: публичный
Статус: Доказательство концепции
Скачать: 🔍
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: ConfigСтатус: 🔍
Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍
Задержка эксплуатации: 🔍
Config: Change Password
Хронология
16.12.2013 🔍16.12.2013 🔍
16.12.2013 🔍
09.01.2014 🔍
24.03.2019 🔍
Источники
Консультация: Evaluating SteamOS’s security posture (a first look)Исследователь: Tim Brown
Организация: Portcullis Computer Security Ltd.
Статус: Подтверждённый
GCVE (VulDB): GCVE-100-11779
OSVDB: 101848
scip Labs: https://www.scip.ch/en/?labs.20161013
Вход
Создано: 09.01.2014 13:41Обновлено: 24.03.2019 10:45
Изменения: 09.01.2014 13:41 (50), 24.03.2019 10:45 (1)
Завершенный: 🔍
Cache ID: 216:9DE:103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.