๐ OpenAFS bis 1.6.16 ptserver/ptprocs.c newEntry erweiterte Rechte
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: vuldb.com
Eine kritische Schwachstelle wurde in OpenAFS bis 1.6.16 ausgemacht. Betroffen davon ist die Funktion newEntry
der Datei ptserver/ptprocs.c. Durch die Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 13.05.2016 veröffentlicht. Die Identifikation der Schwachstelle findet als CVE-2016-2860 statt. Der Angriff kann über das Netzwerk passieren. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 90020 (Scientific Linux Security Update : OpenAFS on SL5.x, SL6.x, SL7.x i386/x86_64) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Scientific Linux Local Security Checks zugeordnet.
Ein Upgrade auf die Version 1.6.17 vermag dieses Problem zu beheben.
CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 5.2 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:openafs:openafs:1.6.0
- cpe:/a:openafs:openafs:1.6.1
- cpe:/a:openafs:openafs:1.6.2
- cpe:/a:openafs:openafs:1.6.3
- cpe:/a:openafs:openafs:1.6.4
- cpe:/a:openafs:openafs:1.6.5
- cpe:/a:openafs:openafs:1.6.6
- cpe:/a:openafs:openafs:1.6.7
- cpe:/a:openafs:openafs:1.6.8
- cpe:/a:openafs:openafs:1.6.9
- cpe:/a:openafs:openafs:1.6.10
- cpe:/a:openafs:openafs:1.6.11
- cpe:/a:openafs:openafs:1.6.12
- cpe:/a:openafs:openafs:1.6.13
- cpe:/a:openafs:openafs:1.6.14
- cpe:/a:openafs:openafs:1.6.15
- cpe:/a:openafs:openafs:1.6.16
Exploiting
Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $2k-$5k (0-day) / $0-$1k (Heute)
Nessus ID: 90020
Nessus Name: Scientific Linux Security Update : OpenAFS on SL5.x, SL6.x, SL7.x i386/x86_64
Nessus File: sl_20160317_OpenAFS_on_SL5_x.nasl
Nessus Family: Scientific Linux Local Security Checks
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: OpenAFS 1.6.17
Timeline
13.05.2016 Advisory veröffentlicht
16.05.2016 VulDB Eintrag erstellt
16.05.2016 VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2016-2860 (mitre.org) (nvd.nist.org) (cvedetails.com)
Eintrag
Erstellt: 16.05.2016
Eintrag: 73.2% komplett
...