Microsoft ASP.NET till 4.x Cryptographic Padding Oracle svag kryptering
| CVSS Meta Temp poäng | Nuvarande exploateringspris (≈) | CTI intressepoäng |
|---|---|---|
| 4.3 | $0-$5k | 0.00 |
En problematiskt svag punkt hittades i Microsoft ASP.NET till 4.x. Som påverkar en okänd funktion av komponenten Cryptographic Padding Oracle. Manipulering en okänd ingång leder till en sårbarhet klass svag kryptering svag punkt.
Den svaga punkten är publicerad 20/09/2010 av Thai Duong Juliano Rizzo som MS10-070 i en form bulletin (Technet) (bekräftad). Den rådgivande finns tillgänglig för nedladdning på microsoft.com. Denna svaga punkt behandlas som CVE-2010-3332. Attacken på nätet kan. Ingen autentisering-krävs för användning. Det finns inga tekniska detaljer, men en exploit känd. Denna sårbarhet har en historisk uttryck.
Det var en exploit utvecklats i Perl. Den exploit kan laddas ner från securityfocus.com. Han deklarerade proof-of-concept. För vulnerability scanner Nessus en plugin har släppts med ID 49695 (MS10-070: Vulnerability in ASP.NET Could Allow Information Disclosure (2418042)), så att sårbarheten kan testas.
En uppgradering att åtgärda problemet. Genom att installera patchen MS10-070, kan problemet lösas. Plåstret kan laddas ner från microsoft.com. Som bläst uppdatera till den senaste versionen åtgärder rekommenderas. En möjlig åtgärd har utfärdats 2 år efter offentliggörandet.
Sårbarheten dokumenteras i databaser X-Force (61898) och Tenable (49695).
Produkt
Säljare
namn
Version
Licens
CPE 2.3
CPE 2.2
Videoklipp
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vektor: 🔍
VulDB Pålitlighet: 🔍
CVSSv3
VulDB Meta Basscore: 4.8VulDB Meta Temp poäng: 4.3
VulDB Baspoäng: 4.8
VulDB Temp Betyg: 4.3
VulDB Vektor: 🔍
VulDB Pålitlighet: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexitet | Autentisering | Sekretess | Integritet | Tillgänglighet |
|---|---|---|---|---|---|
| låsa upp | låsa upp | låsa upp | låsa upp | låsa upp | låsa upp |
| låsa upp | låsa upp | låsa upp | låsa upp | låsa upp | låsa upp |
| låsa upp | låsa upp | låsa upp | låsa upp | låsa upp | låsa upp |
VulDB Baspoäng: 🔍
VulDB Temp Betyg: 🔍
VulDB Pålitlighet: 🔍
NVD Baspoäng: 🔍
Utnyttjar
Klass: Svag krypteringCWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nej
Avlägsen: Ja
Tillgänglighet: 🔍
Tillgång: Offentlig
Status: Proof-of-Concept
Programmeringsspråk: 🔍
Ladda ner: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Pris förutsägelse: 🔍
Nuvarande prisuppskattning: 🔍
| 0-Day | låsa upp | låsa upp | låsa upp | låsa upp |
|---|---|---|---|---|
| I dag | låsa upp | låsa upp | låsa upp | låsa upp |
Nessus ID: 49695
Nessus namn: MS10-070: Vulnerability in ASP.NET Could Allow Information Disclosure (2418042)
Nessus Fil: 🔍
Nessus Risk: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 71580
OpenVAS namn: Gentoo Security Advisory GLSA 201206-13 (mono mono-debugger)
OpenVAS Fil: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys namn: 🔍
Hotinformation
Intressera: 🔍Aktiva skådespelare: 🔍
Aktiva APT-grupper: 🔍
Motåtgärder
Rekommenderad: UpgradeStatus: 🔍
Reaktionstid: 🔍
0-dagars tid: 🔍
Exponeringstid: 🔍
Lappa: MS10-070
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍
ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍
Tidslinje
14/09/2010 🔍17/09/2010 🔍
17/09/2010 🔍
18/09/2010 🔍
19/09/2010 🔍
20/09/2010 🔍
20/09/2010 🔍
20/09/2010 🔍
22/09/2010 🔍
28/09/2010 🔍
19/10/2010 🔍
28/02/2012 🔍
18/03/2021 🔍
Källor
Säljare: microsoft.comRådgivande: MS10-070
Forskare: Thai Duong Juliano Rizzo
Status: Bekräftad
Bekräftelse: 🔍
CVE: CVE-2010-3332 (🔍)
OVAL: 🔍
X-Force: 61898
SecurityTracker: 1024459 - Microsoft ASP.NET Padding Oracle Attack Lets Remote Users Decrypt Data
Vulnerability Center: 27166 - [MS10-070] Microsoft ASP.NET 4.0 Sensitive Information Disclosure Vulnerability, Medium
SecurityFocus: 43316 - Microsoft .NET Framework ASP.NET Padding Oracle Information Disclosure Vulnerability
Secunia: 41409 - Microsoft ASP.NET Cryptographic Padding Oracle Information Disclosure, Moderately Critical
OSVDB: 68127 - Microsoft ASP.NET ViewState Cryptographic Padding Remote Information Disclosure
Vupen: ADV-2010-2751
scip Labs: https://www.scip.ch/en/?labs.20161013
Inträde
Skapad: 19/10/2010 02:00Uppdaterad: 18/03/2021 13:28
Ändringar: 19/10/2010 02:00 (100), 04/03/2017 18:15 (13), 18/03/2021 13:28 (3)
Komplett: 🔍
Cache ID: 3:7B3:103
Inga kommentarer än. språk: sv + en.
Logga in för att kommentera.