➠ Facebook HHVM bis 3.14.x StringUtil::implode Pufferüberlauf

Eine Schwachstelle wurde in Facebook HHVM bis 3.14.x gefunden. Sie wurde als kritisch eingestuft. Es geht hierbei um die Funktion StringUtil::implode. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle (Integer) ausgenutzt werden. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 17.02.2017 (oss-sec) veröffentlicht. Auf openwall.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 18.08.2016 als CVE-2016-6872 statt. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.

Ein Upgrade auf die Version 3.15.0 vermag dieses Problem zu beheben.

Die Einträge 97104, 97105, 97107 und 97108 sind sehr ähnlich.

CVSSv3

Base Score: ≈5.5
Temp Score: ≈5.3
Vector: CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:X
Zuverlässigkeit: Low

CVSSv2

Base Score: ≈4.1 (CVSS2#AV:A/AC:M/Au:S/C:P/I:P/A:P)
Temp Score: ≈3.6 (CVSS2#E:ND/RL:OF/RC:ND)
Zuverlässigkeit: Low

CPE

• cpe:/a:facebook_hhvm:facebook_hhvm:3.14.x

Exploiting

Klasse: Pufferüberlauf
Lokal: Ja
Remote: Nein

Verfügbarkeit: Nein

Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Upgrade: Facebook HHVM 3.15.0

Timeline

18.08.2016 CVE zugewiesen
17.02.2017 Advisory veröffentlicht
18.02.2017 VulDB Eintrag erstellt
18.02.2017 VulDB letzte Aktualisierung

Quellen

Advisory: openwall.com
Bestätigung: github.com

CVE: CVE-2016-6872 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 97104, 97105, 97107, 97108, 97109

Eintrag

Erstellt: 18.02.2017
Eintrag: 69.2% komplett
...

17.02.2017 um 01:00 Uhr
➦ Sicherheitslücken / Exploits ☆ vuldb.com

➠ Komplette Nachricht lesen


Zur Startseite