๐ OpenAFS bis 1.6.16 RPC Call Handler Memory erweiterte Rechte
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: vuldb.com
In OpenAFS bis 1.6.16 wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Dabei geht es um eine unbekannte Funktion der Komponente RPC Call Handler. Durch Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Memory) ausgenutzt werden. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 13.05.2016 öffentlich gemacht. Die Verwundbarkeit wird als CVE-2016-4536 geführt. Der Angriff kann über das Netzwerk angegangen werden. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Ein Aktualisieren auf die Version 1.6.17 vermag dieses Problem zu lösen.
CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 5.2 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:openafs:openafs:1.6.0
- cpe:/a:openafs:openafs:1.6.1
- cpe:/a:openafs:openafs:1.6.2
- cpe:/a:openafs:openafs:1.6.3
- cpe:/a:openafs:openafs:1.6.4
- cpe:/a:openafs:openafs:1.6.5
- cpe:/a:openafs:openafs:1.6.6
- cpe:/a:openafs:openafs:1.6.7
- cpe:/a:openafs:openafs:1.6.8
- cpe:/a:openafs:openafs:1.6.9
- cpe:/a:openafs:openafs:1.6.10
- cpe:/a:openafs:openafs:1.6.11
- cpe:/a:openafs:openafs:1.6.12
- cpe:/a:openafs:openafs:1.6.13
- cpe:/a:openafs:openafs:1.6.14
- cpe:/a:openafs:openafs:1.6.15
- cpe:/a:openafs:openafs:1.6.16
Exploiting
Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $2k-$5k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: OpenAFS 1.6.17
Timeline
13.05.2016 Advisory veröffentlicht
16.05.2016 VulDB Eintrag erstellt
16.05.2016 VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2016-4536 (mitre.org) (nvd.nist.org) (cvedetails.com)
Eintrag
Erstellt: 16.05.2016
Eintrag: 71.2% komplett
...