logo
 
  1. Reverse Engineering >
  2. Exploits >
  3. yaml-cpp bis 0.5.3 scanner.cpp Scanner::peek Denial of Service


ArabicEnglishFrenchGermanGreekItalianJapaneseKoreanPersianPolishPortugueseRussianSpanishTurkishVietnamese

➤ yaml-cpp bis 0.5.3 scanner.cpp Scanner::peek Denial of Service

RSS Kategorie Pfeil Exploits vom | Quelle: vuldb.com Direktlink öffnen Nachrichten Bewertung

Eine Schwachstelle wurde in yaml-cpp bis 0.5.3 ausgemacht. Sie wurde als problematisch eingestuft. Betroffen davon ist die Funktion Scanner::peek der Datei scanner.cpp. Dank Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle (Assertion) ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-404. Dies hat Einfluss auf die Verfügbarkeit. Die Zusammenfassung von CVE lautet:

The function "Token& Scanner::peek" in scanner.cpp in yaml-cpp 0.5.3 and earlier allows remote attackers to cause a denial of service (assertion failure and application exit) via a '!2' string.

Die Schwachstelle wurde am 30.07.2017 herausgegeben. Die Verwundbarkeit wird seit dem 27.07.2017 mit der eindeutigen Identifikation CVE-2017-11692 gehandelt. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$5k kosten (Preisberechnung vom 07/31/2017).

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

CVSSv3

VulDB Base Score: ≈3.5
VulDB Temp Score: ≈3.5
VulDB Vector: CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L/E:X/RL:X/RC:X
VulDB Zuverlässigkeit: Low

CVSSv2

VulDB Base Score: ≈1.5 (CVSS2#AV:A/AC:M/Au:S/C:N/I:N/A:P)
VulDB Temp Score: ≈1.5 (CVSS2#E:ND/RL:ND/RC:ND)
VulDB Zuverlässigkeit: Low

CPE

Exploiting

Klasse: Denial of Service / Assertion (CWE-404)
Lokal: Ja
Remote: Nein

Verfügbarkeit: Nein

Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)

Gegenmassnahmen

Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden

Timeline

27.07.2017 CVE zugewiesen
30.07.2017 Advisory veröffentlicht
31.07.2017 VulDB Eintrag erstellt
31.07.2017 VulDB letzte Aktualisierung

Quellen


CVE: CVE-2017-11692 (mitre.org) (nvd.nist.org) (cvedetails.com)

Eintrag

Erstellt: 31.07.2017
Eintrag: 66.8% komplett
...

➥ Externe Webseite mit kompletten Inhalt öffnen

Kommentiere zu yaml-cpp bis 0.5.3 scanner.cpp Scanner::peek Denial of Service






➤ Ähnliche Beiträge

  • 1.

    yaml-cpp bis 0.5.3 scanner.cpp Scanner::peek Denial of Service

    vom 283.89 Punkte ic_school_black_18dp
    Eine Schwachstelle wurde in yaml-cpp bis 0.5.3 ausgemacht. Sie wurde als problematisch eingestuft. Betroffen davon ist die Funktion Scanner::peek der Datei scanner.cpp. Dank Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwac
  • 2.

    USN-4118-1: Linux kernel (AWS) vulnerabilities

    vom 161.88 Punkte ic_school_black_18dp
    linux-aws vulnerabilities A security issue affects these releases of Ubuntu and its derivatives: Ubuntu 18.04 LTS Ubuntu 16.04 LTS Summary Several security issues were fixed in the Linux kernel. Software Description linux-aws - Linux kernel for Amazon Web Services
  • 3.

    Better template support and error detection in C++ Modules with MSVC 2017 version 15.9

    vom 127.74 Punkte ic_school_black_18dp
    Overview It has been a long time since we last talked about C++ Modules. We feel it is time to revisit what has been happening under the hood of MSVC for modules. The Visual C++ Team has been dedicated to pushing conformance to the standard 
  • 4.

    Better template support and error detection in C++ Modules with MSVC 2017 version 15.9

    vom 127.74 Punkte ic_school_black_18dp
    Overview It has been a long time since we last talked about C++ Modules. We feel it is time to revisit what has been happening under the hood of MSVC for modules. The Visual C++ Team has been dedicated to pushing conformance to the standard 
  • 5.

    USN-3619-1: Linux kernel vulnerabilities

    vom 124.52 Punkte ic_school_black_18dp
    linux, linux-aws, linux-kvm, linux-raspi2, linux-snapdragon vulnerabilities A security issue affects these releases of Ubuntu and its derivatives: Ubuntu 16.04 LTS Summary Several security issues were fixed in the Linux kernel. Software Description l
  • 6.

    Top Stories from the Microsoft DevOps Community – 2019.08.02

    vom 118.22 Punkte ic_school_black_18dp
    If software is eating the world, YAML is eating CI/CD pipelines, and for a good reason! Who doesn’t want the ability to version their pipeline, keep it in source control and easily reuse it for similar applications? In this week’s community posts, we
  • 7.

    yaml-cpp 0.5.3 YAML File HandleNode Denial of Service

    vom 114.38 Punkte ic_school_black_18dp
    In yaml-cpp 0.5.3 wurde eine Schwachstelle gefunden. Sie wurde als problematisch eingestuft. Betroffen ist die Funktion SingleDocParser::HandleNode der Komponente YAML File Handler. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Denial
  • 8.

    Exploring Clang Tooling – Using Build Tools with clang-tidy

    vom 108.32 Punkte ic_school_black_18dp
    This post is part of a regular series of posts where the C++ product team and other guests answer questions we have received from customers. The questions can be about anything C++ related: MSVC toolset, the standard language and library, the C++ st
  • 9.

    USN-3361-1: Linux kernel (HWE) vulnerabilities

    vom 107.92 Punkte ic_school_black_18dp
    Ubuntu Security Notice USN-3361-1 21st July, 2017 linux-hwe vulnerabilities A security issue affects these releases of Ubuntu and its derivatives: Ubuntu 16.04 LTS Summary Several security issues were fixed in the Linux kernel. Software descripti
  • 10.

    Improved Continuous Delivery capabilities and caching for Azure Pipelines

    vom 105.99 Punkte ic_school_black_18dp
    We are thrilled to announce a new set of updates for Azure Pipelines, the Continuous Integration and Continuous Delivery platform part of Azure DevOps. Our team has been hard at work for the past few months to deliver new features, including some that
  • 11.

    AutoRecon - Multi-Threaded Network Reconnaissance Tool Which Performs Automated Enumeration Of Services

    vom 103.96 Punkte ic_school_black_18dp
    AutoRecon is a multi-threaded network reconnaissance tool which performs automated enumeration of services. It is intended as a time-saving tool for use in CTFs and other penetration testing environments (e.g. OSCP). It may also be useful in real-world engagements. The tool works by firstly performing port scans/service detection scans. From those initial results, the tool will launch further enum
  • 12.

    USN-3261-1: QEMU vulnerabilities

    vom 103.77 Punkte ic_school_black_18dp
    Ubuntu Security Notice USN-3261-1 20th April, 2017 qemu vulnerabilities A security issue affects these releases of Ubuntu and its derivatives: Ubuntu 16.10 Ubuntu 16.04 LTS Ubuntu 14.04 LTS Summary Several security issues were fixed i