📚 Linux Kernel SET_WPS_IE IOCTL Stack-Based Pufferüberlauf
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 80660
Betroffen: Linux Kernel
Veröffentlicht: 25.01.2016
Risiko: kritisch
Erstellt: 26.01.2016
Eintrag: 70.8% komplett
Beschreibung
Eine kritische Schwachstelle wurde in Linux Kernel – die betroffene Version ist nicht genau spezifiziert – , ein Betriebssystem, entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente SET_WPS_IE IOCTL. Durch Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle (Stack-Based) ausgenutzt werden. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 25.01.2016 in Form eines Advisories (Website) veröffentlicht. Auf codeaurora.org kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 07.01.2015 als CVE-2015-0570 statt. Die Ausnutzbarkeit ist als leicht bekannt. Der Angriff muss lokal passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (110051) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 80659 und 80661.
CVSS
Base Score: 7.2 (CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C) [?]
Temp Score: 6.1 (CVSS2#E:U/RL:U/RC:ND) [?]
CPE
Exploiting
Klasse: Pufferüberlauf
Lokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Status: Unbewiesen
Aktuelle Preisschätzung: $10k-$25k (0-day) / $10k-$25k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt
Status: Nicht verfügbar
0-Day Time: 0 Tage seit gefunden
Timeline
07.01.2015 | CVE zugewiesen
25.01.2016 | Advisory veröffentlicht
26.01.2016 | VulDB Eintrag erstellt
26.01.2016 | VulDB Eintrag aktualisiert
Quellen
Advisory: codeaurora.org
CVE: CVE-2015-0570 (mitre.org) (nvd.nist.org) (cvedetails.com)
X-Force: 110051 – Linux Kernel SET_WPS_IE IOCTL buffer overflow
...