Linux Foundation Xen till 4.3.0 XSAVE/XRSTOR informationsgivning
| CVSS Meta Temp poäng | Nuvarande exploateringspris (≈) | CTI intressepoäng |
|---|---|---|
| 3.6 | $0-$5k | 0.00 |
I Linux Foundation Xen till 4.3.0 (Virtualization Software) har en problematiskt svag punkt upptäckte. Som påverkar funktionen XSAVE/XRSTOR. Manipulering en okänd ingång leder till en sårbarhet klass informationsgivning svag punkt.
Den svaga punkten är publicerad 25/09/2013 av Jan Beulich av SuSE som Information leak on AVX and/or LWP capable CPUs i en form mailinglist post (oss-sec) (bekräftad). Den rådgivande finns tillgänglig för nedladdning på seclists.org. Publikationen gjordes i samarbete med tillverkaren. Denna svaga punkt behandlas som CVE-2013-1442. Användning anses vara svårt. Attacken på nätet kan. Ingen autentisering-krävs för användning. Det finns tekniska detaljer, men ingen exploit känd.
För vulnerability scanner Nessus en plugin har släppts med ID 74865 (openSUSE Security Update : xen (openSUSE-SU-2013:1953-1)), så att sårbarheten kan testas.
En uppgradering till den version 4.0.2, 4.0.3, 4.0.4 eller 4.1.X att åtgärda problemet. Uppgraderingen som erbjuds för nedladding xenproject.org. En möjlig åtgärd har utfärdats omedelbart efter offentliggörandet.
Sårbarheten dokumenteras i databaser X-Force (87460) och Tenable (74865).
Produkt
Typ
Säljare
namn
Version
Licens
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vektor: 🔍
VulDB Pålitlighet: 🔍
CVSSv3
VulDB Meta Basscore: 3.7VulDB Meta Temp poäng: 3.6
VulDB Baspoäng: 3.7
VulDB Temp Betyg: 3.6
VulDB Vektor: 🔍
VulDB Pålitlighet: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexitet | Autentisering | Sekretess | Integritet | Tillgänglighet |
|---|---|---|---|---|---|
| låsa upp | låsa upp | låsa upp | låsa upp | låsa upp | låsa upp |
| låsa upp | låsa upp | låsa upp | låsa upp | låsa upp | låsa upp |
| låsa upp | låsa upp | låsa upp | låsa upp | låsa upp | låsa upp |
VulDB Baspoäng: 🔍
VulDB Temp Betyg: 🔍
VulDB Pålitlighet: 🔍
NVD Baspoäng: 🔍
Utnyttjar
Klass: InformationsgivningCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nej
Avlägsen: Ja
Tillgänglighet: 🔍
Status: Inte definierad
EPSS Score: 🔍
EPSS Percentile: 🔍
Pris förutsägelse: 🔍
Nuvarande prisuppskattning: 🔍
| 0-Day | låsa upp | låsa upp | låsa upp | låsa upp |
|---|---|---|---|---|
| I dag | låsa upp | låsa upp | låsa upp | låsa upp |
Nessus ID: 74865
Nessus namn: openSUSE Security Update : xen (openSUSE-SU-2013:1953-1)
Nessus Fil: 🔍
Nessus Risk: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 866962
OpenVAS namn: Fedora Update for xen FEDORA-2013-17689
OpenVAS Fil: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys namn: 🔍
Hotinformation
Intressera: 🔍Aktiva skådespelare: 🔍
Aktiva APT-grupper: 🔍
Motåtgärder
Rekommenderad: UpgradeStatus: 🔍
Reaktionstid: 🔍
0-dagars tid: 🔍
Exponeringstid: 🔍
Upgrade: Xen 4.0.2/4.0.3/4.0.4/4.1.X
Tidslinje
26/01/2013 🔍10/09/2013 🔍
25/09/2013 🔍
25/09/2013 🔍
25/09/2013 🔍
30/09/2013 🔍
30/09/2013 🔍
10/10/2013 🔍
13/06/2014 🔍
26/05/2021 🔍
Källor
Säljare: linuxfoundation.orgRådgivande: Information leak on AVX and/or LWP capable CPUs
Forskare: Jan Beulich
Organisation: SuSE
Status: Bekräftad
Koordinerad: 🔍
CVE: CVE-2013-1442 (🔍)
OVAL: 🔍
X-Force: 87460
SecurityTracker: 1029090
Vulnerability Center: 41848 - XenSource Xen 4.0 Through 4.3 Local Information Disclosure Vulnerability Due to a Flaw In XSAVE And XRSTOR Components, Low
SecurityFocus: 62307 - Xen CVE-2013-4329 Local Privilege Escalation Vulnerability
OSVDB: 97770
Se även: 🔍
Inträde
Skapad: 30/09/2013 18:34Uppdaterad: 26/05/2021 02:41
Ändringar: 30/09/2013 18:34 (77), 25/06/2018 09:17 (9), 26/05/2021 02:41 (3)
Komplett: 🔍
Inga kommentarer än. språk: sv + en.
Logga in för att kommentera.