📚 HPE Data Protector bis 7.03/8.14/9.05 Pufferüberlauf [CVE-2016-2007]
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 82738
Betroffen: HPE Data Protector bis 7.03/8.14/9.05
Veröffentlicht: 21.04.2016
Risiko: kritisch
Erstellt: 22.04.2016
Eintrag: 67.3% komplett
Beschreibung
In HPE Data Protector bis 7.03/8.14/9.05 wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Dabei geht es um eine unbekannte Funktion. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 21.04.2016 als ZDI-CAN-3354 in Form eines Advisories (ZDI) an die Öffentlichkeit getragen. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2016-2007 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Ein Upgrade auf die Version 7.03_108, 8.15 oder 9.06 vermag dieses Problem zu beheben. Die Einträge 82735, 82736, 82737 und 82739 sind sehr ähnlich.CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 5.2 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
Exploiting
Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $2k-$5k (0-day) / $1k-$2k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Data Protector 7.03_108/8.15/9.06
Timeline
21.04.2016 | Advisory veröffentlicht
22.04.2016 | VulDB Eintrag erstellt
22.04.2016 | VulDB Eintrag aktualisiert
Quellen
Advisory: ZDI-CAN-3354
CVE: CVE-2016-2007 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 82735, 82736, 82737 , 82739
...