📚 w3m bis 0.5.3 i Tag parsetagx.c Denial of Service
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine Schwachstelle wurde in w3m bis 0.5.3 ausgemacht. Sie wurde als problematisch eingestuft. Hierbei geht es um eine unbekannte Funktion der Datei parsetagx.c der Komponente i Tag Handler. Durch Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle (Crash) ausgenutzt werden. Auswirken tut sich dies auf die Verfügbarkeit.
Die Schwachstelle wurde am 20.01.2017 herausgegeben. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-9436 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 95650 (SUSE SLED12 / SLES12 Security Update : w3m (SUSE-SU-2016:3053-1)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family SuSE Local Security Checks zugeordnet.
Ein Aktualisieren auf die Version 0.5.3+git20161009 vermag dieses Problem zu lösen.
Von weiterem Interesse können die folgenden Einträge sein: 94107, 94108, 94109 und 94110.
CVSSv3
Base Score: 4.3Temp Score: 4.1
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L/E:X/RL:O/RC:X
Zuverlässigkeit: High
CVSSv2
Base Score: 4.3 (CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P)Temp Score: 3.7 (CVSS2#E:ND/RL:OF/RC:ND)
Zuverlässigkeit: High
CPE
Exploiting
Klasse: Denial of ServiceLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Nessus ID: 95650
Nessus Name: SUSE SLED12 / SLES12 Security Update : w3m (SUSE-SU-2016:3053-1)
Nessus File: suse_SU-2016-3053-1.nasl
Nessus Family: SuSE Local Security Checks
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: w3m 0.5.3+git20161009
Timeline
20.01.2017 Advisory veröffentlicht21.01.2017 VulDB Eintrag erstellt
21.01.2017 VulDB letzte Aktualisierung
Quellen
CVE: CVE-2016-9436 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 94107, 94108, 94109, 94110, 94111, 94112, 94113, 94114, 94115, 94116, 94117, 94118, 94119, 94120
Eintrag
Erstellt: 21.01.2017Eintrag: 72.4% komplett
...