๐ File bis 5.17 CDF File Handler cdf.c root_storage Denial of Service
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: vuldb.com
Eine Schwachstelle wurde in File bis 5.17 gefunden. Sie wurde als problematisch eingestuft. Hierbei geht es um eine unbekannte Funktion der Datei cdf.c der Komponente CDF File Handler. Durch das Beeinflussen des Arguments root_storage
mit der Eingabe 0
kann eine Denial of Service-Schwachstelle (NULL Pointer Dereference) ausgenutzt werden. Mit Auswirkungen muss man rechnen für die Verfügbarkeit.
Die Schwachstelle wurde am 16.05.2016 veröffentlicht. Die Identifikation der Schwachstelle findet als CVE-2014-0236 statt. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 78556 (PHP 5.6.0 Development Releases CDF File NULL Pointer Dereference DoS) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CGI abuses zugeordnet.
Ein Upgrade auf die Version 5.18 vermag dieses Problem zu beheben.
Betroffen
- PHP bis 5.5.x
CVSS
Base Score: 5.0 (CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P) [?]
Temp Score: 4.4 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:file:file:5.0
- cpe:/a:file:file:5.1
- cpe:/a:file:file:5.2
- cpe:/a:file:file:5.3
- cpe:/a:file:file:5.4
- cpe:/a:file:file:5.5
- cpe:/a:file:file:5.6
- cpe:/a:file:file:5.7
- cpe:/a:file:file:5.8
- cpe:/a:file:file:5.9
- cpe:/a:file:file:5.10
- cpe:/a:file:file:5.11
- cpe:/a:file:file:5.12
- cpe:/a:file:file:5.13
- cpe:/a:file:file:5.14
- cpe:/a:file:file:5.15
- cpe:/a:file:file:5.16
- cpe:/a:file:file:5.17
Exploiting
Klasse: Denial of Service
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $1k-$2k (0-day) / $0-$1k (Heute)
Nessus ID: 78556
Nessus Name: PHP 5.6.0 Development Releases CDF File NULL Pointer Dereference DoS
Nessus File: php_5_6_0.nasl
Nessus Family: CGI abuses
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: File 5.18
Timeline
16.05.2016 Advisory veröffentlicht
17.05.2016 VulDB Eintrag erstellt
17.05.2016 VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2014-0236 (mitre.org) (nvd.nist.org) (cvedetails.com)
Eintrag
Erstellt: 17.05.2016
Eintrag: 75.8% komplett
...