1. Reverse Engineering >
  2. Exploits >
  3. Tor bis 0.3.2.9 KIST Use-After-Free Denial of Service


ArabicEnglishFrenchGermanGreekItalianJapaneseKoreanPersianPolishPortugueseRussianSpanishTurkishVietnamese
Anzeige

Tor bis 0.3.2.9 KIST Use-After-Free Denial of Service

Exploits vom 05.03.2018 um 01:00 Uhr | Quelle vuldb.com

Es wurde eine kritische Schwachstelle in Tor bis 0.3.2.9 entdeckt. Betroffen hiervon ist eine unbekannte Funktion der Komponente KIST Handler. Durch die Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle (Use-After-Free) ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-404 vorgenommen. Mit Auswirkungen muss man rechnen für die Verfügbarkeit.

Die Schwachstelle wurde am 05.03.2018 publik gemacht. Das Advisory kann von blog.torproject.org heruntergeladen werden. Die Verwundbarkeit wird seit dem 27.11.2017 unter CVE-2018-0491 geführt. Die Schwachstelle ist relativ beliebt, und dies trotz ihrer hohen Komplexität. Der Angriff kann über das Netzwerk erfolgen. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 03/06/2018).

Ein Upgrade auf die Version 0.3.2.10 vermag dieses Problem zu beheben.

Von weiterem Interesse können die folgenden Einträge sein: 114083.

CVSSv3

VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L/E:X/RL:O/RC:X
VulDB Zuverlässigkeit: Medium

CVSSv2

VulDB Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:N/I:N/A:P)
VulDB Temp Score: 3.0 (CVSS2#E:ND/RL:OF/RC:ND)
VulDB Zuverlässigkeit: Medium

CPE

Exploiting

Klasse: Denial of Service / Use-After-Free (CWE-404)
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Upgrade: Tor 0.3.2.10

Timeline

27.11.2017 CVE zugewiesen
05.03.2018 Advisory veröffentlicht
06.03.2018 VulDB Eintrag erstellt
06.03.2018 VulDB letzte Aktualisierung

Quellen

Advisory: blog.torproject.org

CVE: CVE-2018-0491 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 114083

Eintrag

Erstellt: 06.03.2018
Eintrag: 70.9% komplett
...

Komplette Webseite öffnen

Newsbewertung

Kommentiere zu Tor bis 0.3.2.9 KIST Use-After-Free Denial of Service