| CVSS Điểm tạm thời meta | Giá khai thác hiện tại (≈) | Điểm quan tâm CTI |
|---|---|---|
| 6.4 | $0-$5k | 0.00 |
Tóm tắt
Một lỗ hổng được phân loại là nghiêm trọng đã được phát hiện trong GNU Radius 1.2/1.3. Thành phần bị tác động gồm một hàm chưa được xác minh rõ. Việc thao tác Format String. Lỗ hổng này được định danh là CVE-2006-4181. Không có mã khai thác nào sẵn có. Khuyến nghị nâng cấp thành phần bị ảnh hưởng.
Chi tiết
Một lỗ hổng được phân loại là nghiêm trọng đã được phát hiện trong GNU Radius 1.2/1.3. Thành phần bị tác động gồm một hàm chưa được xác minh rõ. Việc thao tác Format String. Việc sử dụng CWE để khai báo vấn đề dẫn đến CWE-134. Lỗi đã được phát hiện vào 26/11/2006. Lỗ hổng đã được công bố vào 27/11/2006 với iDefense Labs (Trang web). Khuyến nghị này được chia sẻ để tải xuống tại labs.idefense.com.
Lỗ hổng này được định danh là CVE-2006-4181. CVE được gán vào ngày 16/08/2006. Không có chi tiết kỹ thuật nào được cung cấp. Mức độ phổ biến của lỗ hổng này cao hơn mức trung bình. Không có mã khai thác nào sẵn có. Hiện thời, giá của một exploit có thể vào khoảng USD $0-$5k.
Nó được tuyên bố là bằng chứng khái niệm. Giá bán trên thị trường ngầm cho 0-day này được ước tính vào khoảng $25k-$100k. Trình quét lỗ hổng Nessus cung cấp một plugin với ID 23874 (GLSA-200612-17 : GNU Radius: Format string vulnerability), giúp xác định sự tồn tại của lỗ hổng trong môi trường mục tiêu. Nếu có, nó sẽ được chỉ định vào họ Gentoo Local Security Checks. Plugin đang thực thi dưới ngữ cảnh loại l. Đang sử dụng cổng 0.
Bản sửa lỗi sẵn sàng để tải xuống tại gnu.org. Khuyến nghị nâng cấp thành phần bị ảnh hưởng. Một biện pháp giảm thiểu khả thi đã được công bố 3 tuần sau khi lỗ hổng được tiết lộ.
Các lần cố gắng tấn công có thể được phát hiện bằng Snort ID 16049. Bên cạnh đó, việc phát hiện và phòng ngừa dạng tấn công này có thể thực hiện được với TippingPoint và bộ lọc 9034. Lỗ hổng cũng được ghi lại trong các cơ sở dữ liệu lỗ hổng khác: SecurityFocus (BID 21303), X-Force (30508), Secunia (SA23087), SecurityTracker (ID 1017285) , Vulnerability Center (SBV-13385).
Sản phẩm
Nhà cung cấp
Tên
Phiên bản
Giấy phép
Trang web
- Nhà cung cấp: https://www.gnu.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Độ tin cậy: 🔍
CVSSv3
VulDB Điểm cơ sở meta: 7.3VulDB Điểm tạm thời meta: 6.4
VulDB Điểm cơ sở: 7.3
VulDB Điểm tạm thời: 6.4
VulDB Vector: 🔍
VulDB Độ tin cậy: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Véc-tơ | Độ phức tạp | Xác thực | Bí mật | Toàn vẹn | Khả dụng |
|---|---|---|---|---|---|
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
VulDB Điểm cơ sở: 🔍
VulDB Điểm tạm thời: 🔍
VulDB Độ tin cậy: 🔍
NVD Điểm cơ sở: 🔍
Khai thác
Lớp: Format StringCWE: CWE-134 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Vật lý: Không
Cục bộ: Không
Từ xa: Có
Khả dụng: 🔍
Trạng thái: Bằng chứng khái niệm
EPSS Score: 🔍
EPSS Percentile: 🔍
Dự đoán giá: 🔍
Ước tính giá hiện tại: 🔍
| 0-Day | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
|---|---|---|---|---|
| Hôm nay | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
Nessus ID: 23874
Nessus Tên: GLSA-200612-17 : GNU Radius: Format string vulnerability
Nessus Tệp tin: 🔍
Nessus Rủi ro: 🔍
Nessus Gia đình: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 57956
OpenVAS Tên: Gentoo Security Advisory GLSA 200612-17 (gnuradius)
OpenVAS Tệp tin: 🔍
OpenVAS Gia đình: 🔍
Tình báo mối đe dọa
Sự quan tâm: 🔍Diễn viên đang hoạt động: 🔍
Nhóm APT đang hoạt động: 🔍
Biện pháp đối phó
Khuyến nghị: nâng cấpTrạng thái: 🔍
Thời gian phản ứng: 🔍
Thời gian 0-ngày: 🔍
Thời gian tiếp xúc: 🔍
Bản vá: gnu.org
Snort ID: 16049
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Phiên bản: 🔍
ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍
dòng thời gian
16/08/2006 🔍26/11/2006 🔍
26/11/2006 🔍
27/11/2006 🔍
27/11/2006 🔍
27/11/2006 🔍
27/11/2006 🔍
27/11/2006 🔍
29/11/2006 🔍
14/12/2006 🔍
16/12/2006 🔍
18/12/2006 🔍
12/07/2019 🔍
Nguồn
Nhà cung cấp: gnu.orgKhuyến cáo: labs.idefense.com⛔
Nhà nghiên cứu: http://labs.idefense.com
Tổ chức: iDefense Labs
Trạng thái: Đã xác nhận
CVE: CVE-2006-4181 (🔍)
GCVE (CVE): GCVE-0-2006-4181
GCVE (VulDB): GCVE-100-2708
X-Force: 30508 - GNU Radius sqllog() format string, High Risk
SecurityFocus: 21303 - GNU Radius SQLLog Remote Format String Vulnerability
Secunia: 23087 - GNU Radius "sqllog()" Format String Vulnerability, Highly Critical
OSVDB: 30696 - GNU Radius sqllog() Function Remote Format String
SecurityTracker: 1017285
Vulnerability Center: 13385 - GNU Radius Code Execution Vulnerability in the sqllog Function, Critical
Vupen: ADV-2006-4712
mục
Được tạo: 29/11/2006 14:43Đã cập nhật: 12/07/2019 09:28
Thay đổi: 29/11/2006 14:43 (104), 12/07/2019 09:28 (1)
Hoàn chỉnh: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Chưa có bình luận nào Ngôn ngữ: vi + km + en.
Vui lòng đăng nhập để bình luận