1. Reverse Engineering >
  2. Exploits >
  3. Ledger-CLI 3.1.1 Account Parser Use-After-Free Pufferüberlauf


ArabicEnglishFrenchGermanGreekItalianJapaneseKoreanPersianPolishPortugueseRussianSpanishTurkishVietnamese

Ledger-CLI 3.1.1 Account Parser Use-After-Free Pufferüberlauf

RSS Kategorie Pfeil Exploits vom | Quelle: vuldb.com Direktlink öffnen

In Ledger-CLI 3.1.1 wurde eine kritische Schwachstelle ausgemacht. Es geht um eine unbekannte Funktion der Komponente Account Parser. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle (Use-After-Free) ausgenutzt werden. CWE definiert das Problem als CWE-119. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

An exploitable use-after-free vulnerability exists in the account parsing component of the Ledger-CLI 3.1.1. A specially crafted ledger file can cause a use-after-free vulnerability resulting in arbitrary code execution. An attacker can convince a user to load a journal file to trigger this vulnerability.

Die Schwachstelle wurde am 05.09.2017 öffentlich gemacht. Die Verwundbarkeit wird seit dem 01.12.2016 als CVE-2017-2808 geführt. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $0-$5k gehandelt werden wird (Preisberechnung vom 09/06/2017).

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Von weiterem Interesse können die folgenden Einträge sein: 106134.

CVSSv3

VulDB Base Score: ≈5.5
VulDB Temp Score: ≈5.5
VulDB Vector: CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:X/RC:X
VulDB Zuverlässigkeit: Low

CVSSv2

VulDB Base Score: ≈4.1 (CVSS2#AV:A/AC:M/Au:S/C:P/I:P/A:P)
VulDB Temp Score: ≈4.1 (CVSS2#E:ND/RL:ND/RC:ND)
VulDB Zuverlässigkeit: Low

CPE

Exploiting

Klasse: Pufferüberlauf / Use-After-Free (CWE-119)
Lokal: Ja
Remote: Nein

Verfügbarkeit: Nein

Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)

Gegenmassnahmen

Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden

Timeline

01.12.2016 CVE zugewiesen
05.09.2017 Advisory veröffentlicht
06.09.2017 VulDB Eintrag erstellt
06.09.2017 VulDB letzte Aktualisierung

Quellen


CVE: CVE-2017-2808 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 106134

Eintrag

Erstellt: 06.09.2017
Aktualisierung: 06.09.2017
Eintrag: 66.8% komplett
...

Webseite öffnen Komplette Webseite öffnen

Newsbewertung

Kommentiere zu Ledger-CLI 3.1.1 Account Parser Use-After-Free Pufferüberlauf






Ähnliche Beiträge