Lädt...

🕵️ GNU Ed bis 1.14.0 Command regex.c Denial of Service


Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com

Eine problematische Schwachstelle wurde in GNU Ed bis 1.14.0 gefunden. Es geht hierbei um eine unbekannte Funktion der Datei regex.c der Komponente Command Handler. Durch Manipulieren mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle (Crash) ausgenutzt werden. Auswirkungen hat dies auf die Verfügbarkeit.

Die Schwachstelle wurde am 17.02.2017 herausgegeben. Auf lists.gnu.org kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 12.01.2017 mit der eindeutigen Identifikation CVE-2017-5357 gehandelt. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 96682 (Fedora 25 : ed (2017-f87674ad41)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Fedora Local Security Checks zugeordnet.

Ein Aktualisieren auf die Version 1.14.1 vermag dieses Problem zu lösen.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 95422) dokumentiert.

CVSSv3

Base Score: ≈3.5
Temp Score: ≈3.4
Vector: CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L/E:X/RL:O/RC:X
Zuverlässigkeit: Low

CVSSv2

Base Score: ≈1.5 (CVSS2#AV:A/AC:M/Au:S/C:N/I:N/A:P)
Temp Score: ≈1.3 (CVSS2#E:ND/RL:OF/RC:ND)
Zuverlässigkeit: Low

CPE

Exploiting

Klasse: Denial of Service
Lokal: Ja
Remote: Nein

Verfügbarkeit: Nein

Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)

Nessus ID: 96682
Nessus Name: Fedora 25 : ed (2017-f87674ad41)
Nessus File: fedora_2017-f87674ad41.nasl
Nessus Family: Fedora Local Security Checks

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Upgrade: Ed 1.14.1

Timeline

12.01.2017 CVE zugewiesen
12.01.2017 SecurityFocus Eintrag zugewiesen
17.02.2017 Advisory veröffentlicht
17.02.2017 VulDB Eintrag erstellt
17.02.2017 VulDB letzte Aktualisierung

Quellen

Advisory: lists.gnu.org

CVE: CVE-2017-5357 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityFocus: 95422 - GNU ed CVE-2017-5357 Denial of Service Vulnerability

Eintrag

Erstellt: 17.02.2017
Eintrag: 72% komplett
...

matomo