๐ EMC Secure Remote Services Virtual Edition bis 3.9 API Log Directory Traversal
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 79922
Betroffen: EMC Secure Remote Services Virtual Edition bis 3.9
Veröffentlicht: 28.12.2015
Risiko: problematisch
Erstellt: 29.12.2015
Eintrag: 67.8% komplett
Beschreibung
Eine problematische Schwachstelle wurde in EMC Secure Remote Services Virtual Edition bis 3.9 entdeckt. Dies betrifft eine unbekannte Funktion der Komponente API. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle (Log) ausgenutzt werden. Dies wirkt sich aus auf die Vertraulichkeit.
Die Schwachstelle wurde am 28.12.2015 veröffentlicht. Die Identifikation der Schwachstelle findet als CVE-2015-6852 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Ein Upgrade auf die Version 3.10 vermag dieses Problem zu beheben.CVSS
Base Score: 4.3 (CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N) [?]
Temp Score: 3.7 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:emc:secure_remote_services_virtual_edition:3.0
- cpe:/a:emc:secure_remote_services_virtual_edition:3.1
- cpe:/a:emc:secure_remote_services_virtual_edition:3.2
- cpe:/a:emc:secure_remote_services_virtual_edition:3.3
- cpe:/a:emc:secure_remote_services_virtual_edition:3.4
- cpe:/a:emc:secure_remote_services_virtual_edition:3.5
- cpe:/a:emc:secure_remote_services_virtual_edition:3.6
- cpe:/a:emc:secure_remote_services_virtual_edition:3.7
- cpe:/a:emc:secure_remote_services_virtual_edition:3.8
- cpe:/a:emc:secure_remote_services_virtual_edition:3.9
Exploiting
Klasse: Directory Traversal
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $10k-$25k (0-day) / $2k-$5k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Secure Remote Services Virtual Edition 3.10
Timeline
28.12.2015 | Advisory veröffentlicht
29.12.2015 | VulDB Eintrag erstellt
29.12.2015 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-6852 (mitre.org) (nvd.nist.org) (cvedetails.com)
...